Перейти к содержанию

Подключение сквозной авторизации (SSO) на основе служб Windows Active Directory

Для работы механизма сквозной авторизации контроллер SpaceVM должен иметь FQDN запись в домене Active Directory и в качестве основного DNS-сервера использовать Windows AD-сервер. Также предварительно необходимо создать пользователя в AD с правами на проверку авторизации других пользователей (администратор домена). Для этого пользователя необходимо создать сопоставление к контроллеру SpaceVM и сгенерировать KRB5 keytab файл.

Подготовка Windows сервера

Необходимо выполнить:

  1. развернуть AD;
  2. AD LDS устанавливается отдельно, так как при настройке опирается на AD;
  3. создать группы Space-users и Space-admins;
  4. создать пользователя Space_admin для присвоения ему права авторизовывать других пользователей;
  5. создать А-записи в DNS windows server;
  6. сделать setspn для Space_admin;
  7. выгрузить keytab;
  8. прописать Windows DNS как основной в SpaceVM;
  9. пользователи AD, имеющие просроченный пароль или "галочку" в поле сменить пароль при следующем входе, не авторизуются.

Пример

Для примера в домене bazalt.team создадим пользователя с необходимыми правами ad115 и создадим FQDN запись в DNS sso115.bazalt.team. Тогда для сопоставления необходимо выполнить команду на сервере AD в консоли cmd с правами администратора: setspn -A HTTP/sso115.bazalt.team ad115 KRB5 keytab файл генерируется командой (в той же консоли): ktpass -princ HTTP/sso115.bazalt.team@BAZALT.TEAM -mapuser ad115@BAZALT.TEAM -pass <password> -crypto RC4-HMAC-NT -ptype KRB5_NT_PRINCIPAL -out c:\kerberos.keytab Результатом выполнения команды будет файл c:\kerberos.keytab. Пароль, указанный в данной команде, будет использоваться при обращении с узла sso115.bazalt.team пользователем ad115@bazalt.team для проверки учетных данных пользователей AD при авторизации в SpaceVM и может не совпадать с доменным паролем данного пользователя.

Примечание

Для включения SSO через GPO для машин домена (IE) win16s: https://winitpro.ru/index.php/2015/06/19/prozrachnaya-avtorizaciya-na-rds-s-pomoshhyu-sso-single-sign-on/

Настройка контроллера SpaceVM

Включение доменной авторизации в SpaceVM производится в окне НастройкиСлужбы каталогов основного меню интерфейса управления SpaceVM. При нажатии кнопки Добавить в верхней части интерфейса откроется окно, в котором необходимо заполнить поля:

  • Название службы каталогов – произвольное имя, по которому пользователь будет идентифицировать службу каталогов в интерфейсе SpaceVM.

  • Имя домена – указать имя домена Windows AD (в примере выше – bazalt.team).

  • Тип подключения – выбрать протокол подключения LDAP или LDAPS. В поле ниже – указать FQDN или IP сервера Windows AD.

  • Тип службы каталогов – выбрать Active Directory. Для проверки соединения можно нажать кнопку Проверить соединение.

При нажатии кнопки ОК система управления запишет в базу данных информацию о службе каталогов.

В системе может быть несколько служб каталогов, по одной для каждого домена. При этом механизм SSO может работать только для одного домена. После регистрации в системе службы каталогов для пользователей станет доступна авторизация по LDAP. Для этого в окне авторизации пользователь должен указать свой доменный логин в виде <имя_пользователя>@<домен> и включить переключатель LDAP.

Настройка разрешений для доменных пользователей производится в окне управления службой каталогов. Для этого выберите службу каталогов, нажав на её название в списке и откроется окно управления. В данном окне есть вкладки:

  • Информация – информация о службе каталогов.

  • Соответствия – сопоставления ролей (уровней доступа) SpaceVM для пользователей, групп пользователей или других OU AD.

  • Keytabs – загруженные KRB5 keytab файлы.

  • События – события и задачи, связанные с данной службой каталогов.

  • Кнопка Конфигурация SSO – открывает окно настроек сквозной авторизации SpaceVM.

В данном окне необходимо заполнить поля:

  1. субдомен SSO – доменное имя сервера Space без домена, например, sso115.
  2. Указать url сервера управления AD – FQDN или IP сервера AD Windows.
  3. Указать список всех url Key Distributed Centers – FQDN или IP сервера AD Windows.
  4. Для включения механизма сквозной авторизации необходимо включить переключатель SSO в верхней части окна с настройками. Изменения применяются по нажатию кнопки Сохранить.

Настройки браузеров для прозрачной работы сквозной авторизации

Настройка Mozilla Firefox

  1. Перейти в about:config.
  2. Найти строки "network.negotiate-auth.delegation-uris" и "network.negotiate-auth.trusted-uris" и прописать там наш домен в формате .domain.name (например, .bazalt.team).

Настройка Google Chrome

Запустить с параметрами командной строки --auth-server-whitelist="*.domain.name" --auto-negotiate-delegate-whitelist="*.domain.name"

Настройка Internet Explorer

Настройки IE лучше применять средствами GPO AD Windows.