Zum Hauptinhalt gehen
Version: 5.4

Einrichtung von Kerberos SSO

Dieses Dokument beschreibt die Einrichtung der BlueMind-Erkennung der Kerberos-Authentifizierung in einer Windows-Infrastruktur.

Funktionsweise der Kerberos-Authentifizierung

Die Kerberos-Authentifizierung ermöglicht es Benutzern mit einem Windows-Konto, das bereits mit ihrem BlueMind-Konto verknüpft ist (über einen AD-Import), sich automatisch zu authentifizieren, ohne einen Login-Bildschirm (SSO) durchlaufen zu müssen.

Hierzu :

  • Der Benutzer muss sich in einer Windows-Sitzung auf der Domäne befinden, für die das Kerberos SSO aktiviert wurde.

    Installation multidomaines
    En cas de Multi-Domain-Nachrichten, chaque domaine peut avoir sa propre configuration Kerberos.
    Si Kerberos est configuré sur plusieurs domaines, chaque domaine doit avoir sa propre URL
    Si Kerberos est configuré sur 1 seul domaine, utiliser l'URL globale

  • Der Benutzer muss einen Browser verwenden, in dem SPNEGO für die globale URL von BlueMind aktiv ist.

Konfiguration von Kerberos

Konfigurationsdaten

Im weiteren Verlauf dieser Dokumentation betrachten wir die folgenden Elemente: – Externe URL von BlueMind (globale URL): bluemind.domain.tld – Active Directory-Server (IP-Adresse oder Name des AD-Servers der Windows-Domäne): ad.domain.tld – Active Directory-Domäne (oder „Realm“, entspricht der Windows-Domäne in Großbuchstaben): DOMAIN.TLD

⚠️ Fügen Sie die AD-Domäne zu den Aliasen der BM-Domäne hinzu, falls diese vom Namen der BM-Domäne abweicht.

Gesamt-URL

Die gesamte Kerberos-Konfiguration erfolgt über die globale URL. Verwenden Sie nicht die URL der betreffenden Domäne, weder für die Erstellung der Keytab-Datei (und der Setspn) noch für die Konfiguration der Client-Rechner, auch wenn Kerberos für mehrere Domänen konfiguriert ist.

En conséquence, si l'URL globale est modifiée (voir Externe URLs), tous les keytab (et le setspn) doivent-être ré-générés, ainsi que tous les clients reconfigurés avec la nouvelle URL globale.

Generierung der Keytab-Datei

Die Erstellung der Keytab-Datei erfolgt in zwei Schritten.

Öffnen Sie eine Konsole cmd.exe und dann :

  1. Erstellen Sie einen dedizierten Benutzer für die Kerberos-Authentifizierung im ActiveDirectory.

    1. Activer l'option "This account supports Kerberos AES 256 bit encryption" dans l'onglet "Compte" :
    2. Ajouter le rôle à l'utilisateur en lançant la commande suivante :
      où le nom de l'utilisateur = bmkrb ; mot de passe = krbpwd
    setspn -A HTTP/bluemind.domain.tld bmkrb

    Der Befehl sollte ein Ergebnis zurückgeben, das den folgenden Zeilen entspricht:

    Registering ServicePrincipalNames for CN=bmkrb,CN=Users,DC=domain,DC=tld
    HTTP/bluemind.domain.tld
    Updated object
  2. Erstellen Sie die keytab-Datei mit dem folgenden Befehl:

    ktpass /out C:\bluemind.keytab /mapuser bmkrb@DOMAIN.TLD
    /princ HTTP/bluemind.domain.tld@DOMAIN.TLD
    /pass krbpwd /kvno 0

    paramètre optionnel, voir la remarque "Schlüssel-Versionsnummer" ci-après

    /ptype KRB5_NT_PRINCIPAL

    Das Ergebnis sollte wie die folgenden Zeilen aussehen:

    Targeting domain controller: AD.domain.tld
    Using legacy password setting method
    Successfully mapped HTTP/bluemind.domain.tld to bmkrb.
    Output keytab to C:\bluemind.keytab
Schlüssel-Versionsnummer

Der Parameter Kvno (Key Version Number) ermöglicht es, mehrere Schlüssel für einen Benutzer zu verwalten.

Der Wert des Befehls ktpass (/kvno 0), der in den obigen Beispielen angegeben ist, ist ein generischer Wert, der in den meisten Fällen funktioniert. Dieser Wert kann jedoch je nach Benutzer und eventuell bereits vorhandenen oder verwendeten Schlüsseln blockierend sein. Nur der AD-Administrator kennt diese Informationen genau.

Es ist möglich, diesen Parameter nicht anzugeben. In diesem Fall wird automatisch ein neuer Schlüssel mit der Versionsnummer erstellt, die auf die Versionsnummer folgt, die bereits im AD für dieses Konto vorhanden ist.

Weitere Informationen über den Kvno-Parameter finden Sie in der Microsoft-Dokumentation zum Befehl ktpass: https://learn.microsoft.com/en-us/windows-server/administration/windows-commands/ktpass

Aktivierung in der Verwaltungskonsole

  1. Gehen Sie in der Administrationskonsole zu Systemverwaltung > Überwachte Domänen > Wählen Sie die Domäne > Registerkarte Sicherheit.
  2. Sélectionner le mode d'authentification Kerberos et renseigner le formulaire associé :
    • Active Directory-Domäne
    • Active Directory Server
    • Active Directory Keytab-Datei: Aktivieren Sie das Kontrollkästchen und wählen Sie die zuvor erstellte Datei.
  3. Klicken Sie auf "Speichern", um die Änderungen zu speichern.

Configuration client

Le navigateur client peut considérer que le domaine BlueMind n'est pas de confiance. Il faut alors ajouter l'URL d'accès à BlueMind comme site de confiance dans le navigateur.

Firefox

Manuelle Konfiguration

Die Konfiguration der vertrauenswürdigen Site erfolgt in den Einstellungen des Browsers :

  • Geben Sie in der Adressleiste des Browsers :

    about:config
  • Bestätigen Sie die Warnung, indem Sie auf "Risiko akzeptieren und fortfahren" klicken.

  • Geben Sie in das Suchfeld :

    trusted
  • Doppelklicken Sie auf die Einstellung network.negotiate-auth.trusted-uris oder klicken Sie auf den Bleistift am Ende der Zeile, um sie zu bearbeiten.

  • Geben Sie die Adresse der BlueMind Domain ein (hier bluemind.domain.tld) und bestätigen Sie.

    💡 Der Parameter erscheint in Fettdruck: Dies bedeutet, dass es sich um einen geänderten Parameter handelt, der nicht mehr den Standardwert hat.

  • Starten Sie Firefox neu, damit die Änderung wirksam wird.

GPO-Konfiguration

Hier ist ein Beispiel, wie Sie GPOs für Firefox konfigurieren können:

  1. Hinzufügen von "Windows-Richtlinien" zum AD-Server

    1. Vorlagen im ADMX-Format können Sie hier abrufen: https://github.com/mozilla/policy-templates/releases

    2. Setzen Sie sie in "Windows Policy Definitions" ein.

      💡 Die .admx-Dateien befinden sich im Stammverzeichnis und die .adml-Dateien in den entsprechenden Sprachordnern.

  2. Einrichten der Kerberos-spezifischen GPO

    1. Gehen Sie unter : Computerkonfiguration > Richtlinien > Administrative Vorlagen > Mozilla > Firefox > Authentifizierung

    2. Suchen und öffnen Sie die Einstellung "SPNEGO".

    3. Drücken Sie auf "Aktiviert".

    4. Klicken Sie im Feld "Optionen" auf "Anzeigen" und geben Sie die Adresse der gewünschten Netzwerkressource ein.

      ℹ️ Wenn mehrere Adressen eingegeben werden müssen, geben Sie eine Adresse pro Zeile ein.

    5. Drücken Sie auf die Schaltfläche "OK", um die Fenster mit den vorgenommenen Änderungen zu schließen.


Weitere Informationen zur Konfiguration über GPOs finden Sie in den folgenden Dokumentationen :

Sowie die Firefox-Dokumentation :

Microsoft Edge

Manuelle Konfiguration

Microsoft Edge wird manuell auf der Arbeitsstation konfiguriert:

  • Regedit als Administrator starten
  • Gehen Sie zu "HKEY_LOCAL_MACHINE\OFTWARE\PolicyMicrosoftge" und erstellen Sie die fehlenden Registrierungsschlüssel, falls erforderlich.
  • Erstellen Sie den Wert vom Typ "Wert String (REG_SZ)" mit dem Namen AuthServerAllowlist und dem Wert bluemind.domain.tld.
  • Neustart Edge, damit die Änderung wirksam wird.

Wenn eine Störung auftritt, stellen Sie sicher, dass die Politik berücksichtigt wird:

  • Edge starten
  • Geben Sie edge://policy in das Feld für die URL ein.
  • Stellen Sie sicher, dass die Richtlinie AuthServerAllowlist im Abschnitt "Microsoft Edge Policies" mit dem zuvor eingegebenen Wert erscheint. Andernfalls klicken Sie auf "Strategien neu laden". Wenn es immer noch nicht erscheint, überprüfen Sie, ob Sie die Registrierung wie oben beschrieben geändert haben.

Weitere Informationen zu den Edge-Richtlinien finden Sie in der Microsoft-Dokumentation :

GPO-Konfiguration

Hier ist ein Beispiel, wie Sie GPOs für Edge konfigurieren können:

  1. Hinzufügen von "Windows-Richtlinien" zum AD-Server

    1. Vorlagen im ADMX-Format können Sie hier abrufen: https://www.microsoft.com/fr-fr/edge/business/download?cs=4134690573&form=MA13FJ

    2. Setzen Sie sie in "Windows Policy Definitions" ein.

      💡 Die .admx-Dateien befinden sich im Stammverzeichnis und die .adml-Dateien in den entsprechenden Sprachordnern.

  2. Einrichten der Kerberos-spezifischen GPO

    1. Gehen Sie unter : Computerkonfiguration > Administrative Vorlagen > Microsoft Edge > HTTP-Authentifizierung

    2. Finden und öffnen Sie die Einstellung "Liste der autorisierten Authentifizierungsserver konfigurieren".

    3. Drücken Sie auf "Aktiviert".

    4. Geben Sie im Feld "Optionen" die Adresse der gewünschten Netzwerkressource ein.

      ℹ️ Wenn mehrere Adressen eingegeben werden müssen, trennen Sie diese durch Kommata.

    5. Drücken Sie auf die Schaltfläche "OK", um die Fenster mit den vorgenommenen Änderungen zu schließen.


Weitere Informationen zur Konfiguration über GPOs finden Sie in den folgenden Dokumentationen :

Chrom

Manuelle Konfiguration

Google Chrome wird manuell auf der Arbeitsstation konfiguriert:

  • Regedit als Administrator starten
  • Gehen Sie zu "HKEY_LOCAL_MACHINE\OFTWARE\Policies\Google\Chrome" und erstellen Sie die fehlenden Schlüssel, falls erforderlich.
  • Erstellen Sie den Wert vom Typ "Wert String (REG_SZ)" mit dem Namen AuthServerAllowlist und dem Wert bluemind.domain.tld.
  • Starten Sie Chrome neu, damit die Änderung wirksam wird.

Wenn eine Störung auftritt, stellen Sie sicher, dass die Politik berücksichtigt wird:

  • Chrome starten
  • Geben Sie chrome://policy in das Feld für die URL ein.
  • Stellen Sie sicher, dass die Richtlinie AuthServerAllowlist im Abschnitt "Chrome Policies" mit dem zuvor eingegebenen Wert erscheint. Andernfalls klicken Sie auf "Strategien neu laden". Wenn es immer noch nicht erscheint, überprüfen Sie, ob Sie die Registrierung wie oben beschrieben geändert haben.

Weitere Informationen zu den Chrome-Richtlinien finden Sie in der Google-Dokumentation :

GPO-Konfiguration

Hier ist ein Beispiel, wie Sie GPOs für Chrome konfigurieren können:

  1. Hinzufügen von "Windows-Richtlinien" zum AD-Server

    1. Hier können Sie die Vorlagen im ADMX-Format abrufen: https://support.google.com/chrome/a/answer/187202?hl=fr#zippy=%2Cwindows

    2. Setzen Sie sie in "Windows Policy Definitions" ein.

      💡 Die .admx-Dateien befinden sich im Stammverzeichnis und die .adml-Dateien in den entsprechenden Sprachordnern.

  2. Einrichten der Kerberos-spezifischen GPO

    1. Gehen Sie unter : Computerkonfiguration > Administrative Vorlagen > Google > Google Chrome > HTTP-Authentifizierung

    2. Finden und öffnen Sie die Einstellung "Autorisierungsliste für Authentifizierungsserver".

    3. Drücken Sie auf "Aktiviert".

    4. Geben Sie im Feld "Optionen" die Adresse der gewünschten Netzwerkressource ein.

      ℹ️ Wenn mehrere Adressen eingegeben werden müssen, trennen Sie diese durch Kommata.

    5. Drücken Sie auf die Schaltfläche "OK", um die Fenster mit den vorgenommenen Änderungen zu schließen.


Weitere Informationen zur Konfiguration über GPOs finden Sie in den folgenden Dokumentationen :

Weiterführende Informationen

Lesen Sie die BlueMind-Dokumentation in Verbindung mit

Lesen Sie die folgenden Seiten