Windows - Kerberos SSO извне домена

Я пытался понять это сам, но безрезультатно. Google предлагает много уроков, но я не смог найти ни одного для приведенного ниже случая.

У нас есть внешний сотрудничающий сотрудник с VPN-доступом к нашей локальной сети, и ему необходимо получить доступ к некоторым нашим веб-приложениям. Его рабочая станция работает под управлением Windows 7 Professional. Веб-приложения могут принимать только SSO- аутентификацию на основе Kerberos - аутентификация пароля отключена из-за политики безопасности и не может быть изменена. Kerberos AS/KDC предоставляются доменом уровня Windows Server 2008 R2, членом которого его рабочая станция не является.

Как мы можем настроить аутентификацию Kerberos со своей рабочей станции, не добавляя ее в домен? До сих пор я только настраивал системы на основе UNIX с Kerberos. Под Windows я могу думать о двух разных решениях:

  1. Установите внешние библиотеки Kerberos (т. Е. MIT Kerberos для Windows) - я предполагаю, что процесс настройки похож на UNIX (т. Е. Редактирование krb5.conf, установка области по умолчанию и включение определения местоположения KDC на основе DNS).

  2. Настроить встроенный клиент Kerberos в Windows без добавления рабочей станции в домен - я не уверен, что это даже возможно.

Нам нужно заставить SSO работать в Mozilla Firefox. При условии, что мы используем первое решение, я предполагаю, что мы должны установить network.negotiate-auth.gsslib к внешнему пути DLL Kerberos. Может ли эта установка работать как положено? Из приведенных выше вариантов последний вариант является наиболее предпочтительным, поскольку мы хотели бы избежать внешних зависимостей и возможных несовместимостей.

1 ответ

Недавно я заставил KERBEROS работать на рабочей станции, подключенной к VPN, которая не присоединена к домену (Active Directory Server 2008R2 под управлением AWS). Ключевым моментом было добавление SRV и соответствующих записей A в общедоступный DNS, чтобы рабочая станция могла разрешить_kerberos._tcp.dc._msdcs.mydomain.mydomain.comна локальный адрес VPC контроллера домена на порту 88 (обратите вниманиеmydomainдважды – это не ошибка).

Клиенты Kerberos получают билеты, используя учетные данные домена, хранящиеся в диспетчере учетных данных Windows. Добавление области через ksetup не потребовалось.

Другие вопросы по тегам