Настройка компьютера пользователя для Kerberos аутентификации#
Исходные данные#
Имеется сервер контроллера домена FreeIPA:
имя домена astra.aaa
администратор домена admin@astra.aaa
пользователь домена user-01@astra.aaa
Пользовательский компьютер располагается отдельно:
имя компьютера pc-01.astra.aaa
компьютер имеет постоянный IP-адрес, например, 192.168.1.22
Настройка операционной системы#
Для настройки операционной системы необходимо перейти по ссылке и выполнить действия по инструкции:
Ввод в домен Freeipa#
Для ввода в домен необходимо перейти по ссылке и выполнить действия по инструкции:
Установка и настройка браузера Firefox#
Для установки и настройки сквозной аутентификации браузера Firefox необходимо выполнить следующие действия:
Пункт 1#
установить пакет используя команду:
sudo apt install firefox
Пункт 2#
в адресной строке ввести about:config, затем необходимо согласиться с тем, что вы понимаете риски.
в ведя в строку поиска uris, найдите параметры:
network.negotiate-auth.trusted-uris,
network.negotiate-auth.delegation-uris
укажите в этих параметрах имя вашей kerberos-области (realm):
.astra.aaa
Установка и настройка браузера Chromium#
Для установки и настройки сквозной аутентификации браузера Chromium необходимо выполнить следующие действия:
Пункт 1#
установить пакет используя команду:
sudo apt install chromium
Пункт 2#
создать папку, выполнив в консоли команду:
sudo mkdir -p /etc/chromium/policies/managed/
ней создать файл mydomain.json с содержимым:
{
"AuthServerAllowlist": "*.astra.aaa",
"AuthNegotiateDelegateAllowlist": "*.astra.aaa"
}
где *.astra.aaa - имя вашей kerberos-области (realm).
Пункт 3#
после сохранения файла, созданные политики проверить в браузере по адресу chrome://policy/.
Установка и настройка Yandex браузера#
Для установки и настройки сквозной аутентификации Yandex браузера необходимо выполнить следующие действия:
Пункт 1#
установить пакет используя команду:
sudo apt install yandex-browser-stable
Пункт 2#
создать папку, выполнив в консоли команду:
sudo mkdir -p /etc/opt/yandex/browser/policies/managed/
в ней создать файл mydomain.json с содержимым:
{
"AuthServerAllowlist": "*.astra.aaa",
"AuthNegotiateDelegateAllowlist": "*.astra.aaa"
}
где *.astra.aaa - имя вашей kerberos-области (realm).
Пункт 3#
После сохранения файла, созданные политики проверить в браузере по адресу browser://policy/.