Я пытался разобраться в этом сам, но безуспешно. Google предлагает множество руководств, но я не смог найти ни одного для случая ниже.
У нас есть внешний сотрудник, имеющий доступ к нашей локальной сети через VPN, и ему необходимо получить доступ к некоторым нашим веб-приложениям. Его рабочая станция работает под управлением Windows 7 Professional. Веб-приложения могут принимать только аутентификацию SSO на основе Kerberos - аутентификация по паролю отключена из-за политики безопасности и не может быть изменена. Kerberos AS / KDC предоставляется доменом уровня Windows Server 2008 R2 , членом которого его рабочая станция не является.
Как мы можем настроить аутентификацию Kerberos с его рабочей станции , не добавляя ее в домен ? До сих пор я использовал только для настройки систем на основе UNIX с Kerberos. Под Windows я могу придумать два разных решения:
Установить внешние библиотеки Kerberos (например, MIT Kerberos для Windows) - я предполагаю, что процесс настройки аналогичен UNIX (например, редактирование krb5.conf , установите область по умолчанию и включите определение местоположения KDC на основе DNS).
Настроить встроенный в Windows клиент Kerberos без добавления рабочей станции в домен - я не уверен, что это вообще возможно.
Нам нужно заставить SSO работать в Mozilla Firefox. При условии, что мы используем первое решение, я предполагаю, что мы должны установить network.negotiate-auth.gsslib
на внешний путь Kerberos DLL. Может ли эта установка работать должным образом? Из вышеперечисленных вариантов настоятельно рекомендуется последний, так как мы хотели бы избежать внешних зависимостей и возможных несовместимостей.
Недавно я установил KERBEROS на рабочую станцию, подключенную через VPN, которая не присоединена к домену (управляемый AWS Active Directory Server 2008R2).
Ключом было добавление SRV и соответствующих записей A в public DNS, чтобы рабочая станция могла разрешить _kerberos._tcp.dc._msdcs.mydomain.mydomain.com
в локальный адрес VPC контроллера домена. на порту 88 (обратите внимание mydomain
дважды — это не ошибка).
Клиенты Kerberos получают билеты, используя учетные данные домена, хранящиеся в диспетчере учетных данных Windows. Добавлять область через ksetup не нужно.