База знаний Biosmart
Ссылки пространства
Все страницы

Сравнение версий

Старая версия 1

changes.mady.by.user Пастухова Анна Владиславовна

Сохранено

по сравнению с

Новая версия Текущая

changes.mady.by.user Пастухова Анна Владиславовна

Сохранено

Легенда

  • Эта строка добавлена.
  • Эта строка удалена.
  • Форматирование изменено.

Аутентификация Kerberos - это протокол взаимной аутентификации сервера и клиента при участии доверенно третьей стороны (KDC - Key Distribution Center). Протокол обеспечивает защиту даже при условии прохождения пакетов по незащищенной сети, где они могут быть перехвачены, модифицированы и перенаправлены злоумышленником.

Для работы с протоколом аутентификации Kerberos зарегистрируйте SPN.

При установке и обновлении ПО Biosmart-Studio

Expand
titleДля ПК с ОС Windows

Установите ПО Biosmart-Studio в соответствии со статьей Установка ПО Biosmart-Studio v6.

В окне Вход в систему

Среднее время решения: 15-30 мин.

Сложность: ⭐⭐⭐☆ (Продвинутая)

Дата обновления: 10.11.2025


Данная инструкция описывает процесс единого входа (Single Sign-On, SSO) в ПО Biosmart-Studio v6 с использованием протокола Kerberos. Kerberos позволяет пользователям, уже вошедшим в домен Active Directory (AD) автоматически получать доступ в ПО Biosmart-Studio v6 без повторного ввода логина и пароля. Это повышает удобство и безопасность, так как учетные данные не передаются и не хранятся в ПО Biosmart-Studio v6.

Как это работает?

При входе в Windows пользователь получает от контроллера домена (KDC) специальный билет. При запуске Biosmart-Studio этот билет предъявляется службе для автоматической проверки подлинности. Ключевым элементом этой связки является Service Principal Name (SPN) — уникальный идентификатор, который сообщает KDC, какой службе принадлежит запрос.

Предупреждение

Корректная регистрация SPN является обязательным условием для работы с протоколом Kerberos.

Необходимые условия

Перед началом настройки, убедитесь, что выполнены следующие условия:

Подсказка
iconfalse
  1. В вашей инфраструктуре развернут и работает контроллер домена Active Directory.
  2. У вас есть права администратора домена для регистрации SPN.
  3. ПО Biosmart-Studio v6 установлено на сервере, который является членом домена.

Пошаговая инструкция

Настройка авторизации включает в себя три этапа:

  1. Регистрация SPN в Active Directory.

  2. Настройка службы Biosmart Server (для Windows) или создание keytab файла (для Astra Linux).

  3. Активация и настройка Kerberos-авторизации в интерфейсе Biosmart-Studio.

Этап 1. Регистрация SPN в Active Directory

Настройте SPN в соответствии с инструкцией для ПК с ОС Windows.

Предупреждение

Для регистрации SPN необходимы права администратора домена.

Этап 2. Настройка службы Biosmart Server или создание keytab файла

Для того, чтобы настроить авторизацию с помощью протокола аутентификации Kerberos, выполните настройку службы Biosmart Server для ПК с ОС Windows или создайте keytab файл для ПК с ОС Astra Linux.

Анкер
Настройка службы
Настройка службы

Expand
titleНастройка службы для ПК с ОС Windows

Установите или обновите ПО Biosmart-Studio v6 в соответствии со статьей Установка ПО Biosmart-Studio v6 и статьей Обновление на ПК с ОС Windows.

Информация

Если ПО Biosmart-Studio v6 на вашем ПК установлено и обновлено, то пропустите первый пункт настройки.

  1. В окне Запуск службы Biosmart Server выберите С учетной записью и введите название домена и имя учетной записи, укажите пароль от учетной записи.
Image RemovedImage Removed
  1. Image Added
    Завершите установку или обновление по инструкции.

  2. Проверьте параметры учетной записи в Службах, для этого откройте окно Управление компьютером, выберите вкладку Службы и приложения, далее Службы.
    Image Modified
    Откройте свойства службы Biosmart Server с помощью двойного нажатия на службу.
    Перейдите на вкладку Вход в систему и проверьте, что выбран параметр входа в систему С учетной записью и имя учетной записи и пароль установлены.


  1. Информация

    Если ПО Biosmart-Studio v6 на вашем ПК установлено и обновлено, то на вкладке Вход в систему выберите параметр входа в систему С учетной записью. Введите имя учетной записи и пароль.

    Сохраните изменения, нажав на кнопку ОК.


    Image Added

Анкер
Создание keytab-файла
Создание keytab-файла
Expand
titleСоздание keytab файла для ПК с ОС Astra Linux

  1. Установите или обновите ПО Biosmart-Studio v6 в соответствии со статьей Установка на ПК с ОС Astra Linux и статьей Обновление на ПК с ОС Astra Linux.
    Для авторизации с помощью Kerberos при установке создайте keytab файл с помощью команды:

    Блок кода
    sudo ./bss-install.sh --kerberos
или 
sudo ./bss-install.sh --kerberos --krbuser=UPN --krbpassword=password

    При вводе второй команды параметры пользователя будут взяты из командной строки.

  2. Если ПО Biosmart-Studio v6 уже установлено, то для авторизации с помощью Kerberos во время обновления серверной части ПО Biosmart-Studio v6 создайте keytab файл с помощью команды:

    Блок кода
    sudo ./bss-update.sh --kerberos
или 
sudo ./bss-update.sh --kerberos --krbuser=UPN --krbpassword=password

    При вводе второй команды параметры пользователя будут взяты из командной строки.




Этап 3. Настройка входа в ПО Biosmart-Studio v6 
Анкер
Настройка входа
Настройка входа

  1. Запустите ПО Biosmart-Studio v6. Появится окно авторизации пользователей.
    Введите логин
, пароль
  1. и нажмите кнопку ВойтиПри
первом
  1. первом входе после установки
входе в
  1. ПО используйте логин root, пароль пустой.
    Image Modified

  2. После авторизации, в ПО Biosmart-Studio

v6 перейдите

  1. v6 перейдите в раздел Справочники 

→ 

  1.  Настройки LDAP/

Kerberos →

  1. Kerberos → Авторизация Kerberos.
    Введите ранее зарегистрированный SPN

.Поставьте отметку в чекбоксе Разрешить SSO авторизацию, для автоматического входа в систему без ввода имени пользователи и пароля

  1. .
    Выберите Роль по умолчанию для пользователя, который будет

пользоваться ПО Biosmart

  1. использовать ПО Biosmart-Studio v6.

    Информация

    Роль по умолчанию применяется только для новых пользователей ПО Biosmart-Studio v6. Если пользователь добавлен в домен AD, но не создан в  ПО Biosmart-Studio v6, то при первой авторизации будет автоматически создан пользователь с выбранной ролью по умолчанию.

    Image Modified
    Сохраните изменения, нажав на кнопку Сохранить и завершите работу

с ПО Biosmart

  1. с ПО Biosmart-Studio v6.

  2. Для входа в ПО Biosmart-Studio v6 с помощью Kerberos запустите ПО Biosmart-Studio v6, перейдите на вкладку Kerberos и введите имя учетной записи и пароль.
    Image Modified

    Информация

    Имя учетной записи можно вводить в формате Username

или Username@company.ru

  1. или Username@realm.

    При использовании короткого формата Username для входа в ПО Biosmart-Studio v6 будет использоваться текущий домен.

    При первом входе в

ПО BiosmarttitleАвтовход с помощью AD

  1. ПО Biosmart-Studio v6 с помощью Kerberos необходимо вводить логин и пароль пользователя.

Expand


  1. При использовании протокола аутентификации Kerberos можно настроить автоматический вход в ПО Biosmart-Studio v6.
    Настроить автоматических вход можно двумя способами:
    • с помощью SSO авторизации (используется учетная запись пользователя, авторизованного в AD, для входа в ПО Biosmart-Studio v6 необходимо нажать кнопку Войти);
    • с помощью автовхода (используется SSO авторизация, при открытии ПО Biosmart-Studio v6).
  2. Для автоматического входа в систему без ввода имени пользователи и пароля поставьте отметку в чекбоксе Разрешить SSO авторизацию в разделе Справочники → Настройки LDAP/Kerberos → Авторизация Kerberos.
    Image Added

  3. Для автоматического входа с помощью

AD 

  1. автовхода нажмите в окне авторизации пользователей кнопку Настройки
    Image Modified

  2. Перейдите на вкладку Дополнительно, установите флаг Автовход и выберите тип автовхода Kerberos.

    Информация

    Автовход с использованием Kerberos работает только в связке с SSO-авторизацией. Это необходимо для безопасной работы, чтобы не хранить пароли в открытом виде.

    Image Modified

Результат

После авторизации в помощью Kerberos в

ПО Biosmart

ПО Biosmart-Studio v6 создается пользователь с ролью, указанной на вкладке Авторизация Kerberosесли пользователь не был создан ранее.

Image Modified

Expand
titleДля ПК с ОС Astra Linux
При установленном

При необходимости можно отредактировать роль пользователя в разделе Редактирование свойств пользователя.

Справочник терминов

Для удобства ниже приведены определения ключевых понятий, используемых в инструкции.

ТерминОпределение
KerberosПротокол взаимной аутентификации сервера и клиента при участии доверенной третьей стороны (KDC). Обеспечивает защиту данных даже при передаче по незащищенной сети.
RealmДомен аутентификации в инфраструктуре Kerberos, который управляется одним или несколькими KDC.
KDC (Key Distribution Center)Центр распределения ключей — контроллер домена, отвечающий за аутентификацию и распределение билетов.
SPN (Service Principal Name)Уникальный идентификатор, который связывает сервер с учетной записью пользователя домена.
SSO (Single Sign-On)Механизм аутентификации, позволяющий пользователю автоматически авторизовываться в ПО без повторного ввода логина и пароля.


Связанные статьи:

Контент по метке
showLabelsfalse
showSpacefalse
reversetrue
excludeCurrenttrue
cqllabel = "установка_на_пк_с_ос_windows" and space = "WB" and title ~ "Установка на ПК с ОС Windows"

Контент по метке
showLabelsfalse
showSpacefalse
cqllabel = "установка_на_пк_с_ос_astra_linux"

Контент по метке
showLabelsfalse
showSpacefalse
cqllabel = "настройки_ldap/kerberos" and space = "WB"