6.10.3. Настройка браузеров для SSO

⁠6.10.3. Настройка браузеров для SSO

Предварительно необходимо ввести компьютер в домен (см. Подключение к AD) и убедиться, что доменный пользователь получает билет Kerberos.

Для работы SSO в браузерах необходимо произвести некоторые настройки.

⁠6.10.3.1. Настройка Mozilla Firefox

Порядок действий:

В адресной строке ввести about:config, чтобы отобразить список текущих параметров конфигурации (необходимо будет нажать кнопку Принять риск и продолжить).
В поле Фильтр ввести negotiate, чтобы ограничить список параметров.
Выбрать параметр network.negotiate-auth.trusted-uris.
Указать в этом параметре имя Kerberos области (realm), включая предшествующую точку (.). Если нужно добавить несколько доменов, их необходимо указать через запятую.

В ряде случаев может потребоваться отредактировать еще несколько параметров:

параметр network.automatic-ntlm-auth.trusted-uris выставить в Kerberos realm: .test.alt;
параметр network.negotiate-auth.delegation-uris выставить в Kerberos realm: .test.alt;
параметр network.automatic-ntlm-auth.allow-non-fqdn выставить в: true;
параметр network.negotiate-auth.allow-non-fqdn выставить в: true;

Вместо выставления этих параметров можно создать файл /usr/lib64/firefox/browser/defaults/preferences/prefs.js со следующим содержимым:

pref("network.negotiate-auth.trusted-uris",".test.alt");
pref("network.automatic-ntlm-auth.trusted-uris",".test.alt");
pref("network.automatic-ntlm-auth.allow-non-fqdn","true");
pref("network.negotiate-auth.allow-non-fqdn","true");
pref("network.negotiate-auth.delegation-uris",".test.alt");

Эти параметры могут быть распространены через групповые политики для Firefox:

параметр network.negotiate-auth.trusted-uris — политика SPNEGO;
параметр network.automatic-ntlm-auth.trusted-uris — политика NTLM;
параметр network.negotiate-auth.delegation-uris — политика Делегированная авторизация;
параметр network.automatic-ntlm-auth.allow-non-fqdn — политика Разрешить неполное доменное имя (Non FQDN);
параметр network.negotiate-auth.allow-non-fqdn — политика Разрешить неполное доменное имя (Non FQDN);

Подробнее см. Групповые политики для Firefox

⁠6.10.3.2. Настройка Chromium

В файл /etc/chromium/policies/managed/policies.json добавить строки:

{
    "AuthServerAllowlist": "*.test.alt",
    "AuthNegotiateDelegateAllowlist": "*.test.alt"
}

где .test.alt — имя Kerberos области (realm).

Для применения настроек необходимо перезапустить браузер. Результат применения параметров политики для Chromium можно проверить, указав в адресной строке URL: chrome://policy.

Эти параметры могут быть распространены через групповые политики для Chromium: Список разрешенных серверов для аутентификации (Разрешить аутентификацию на серверах из списка) и Список разрешенных серверов для делегирования прав по протоколу Kerberos (Разрешить делегирование прав по протоколу Kerberos на серверах). Подробнее см. Групповые политики для Chromium

Примечание

Для проверки работы аутентификации без изменения настроек браузера можно запустить браузер из командной строки, выполнив команду:

$ chromium-browser --auth-server-whitelist="*.test.alt"

⁠6.10.3.3. Настройка «Яндекс.Браузера»

В файл /etc/opt/yandex/browser/policies/managed/policies.json добавить строки:

{
    "AuthServerAllowlist": "*.test.alt",
    "AuthNegotiateDelegateAllowlist": "*.test.alt"
}

Где .test.alt — имя Kerberos области (realm).

Для применения настроек необходимо перезапустить браузер. Результат применения параметров политики для «Яндекс.Браузера» можно проверить, указав в адресной строке URL: browser://policy.

Эти параметры могут быть распространены через групповые политики для «Яндекс.Браузера»: политики Разрешить аутентификацию на серверах из списка и Разрешить делегирование прав по протоколу Kerberos на серверах. Подробнее см. Групповые политики для «Яндекс.Браузера».