Аутентификация Kerberos - это протокол взаимной аутентификации сервера и клиента при участии доверенной третьей стороны (KDC - Key Distribution Center). Протокол обеспечивает защиту даже при условии прохождения пакетов по незащищенной сети, где они могут быть перехвачены, модифицированы и перенаправлены злоумышленником.
Для работы с протоколом аутентификации Kerberos зарегистрируйте SPN.
| title | Для ПК с ОС Windows |
|---|
Среднее время решения: 15-30 мин.
Сложность: ⭐⭐⭐☆ (Продвинутая)
Дата обновления: 10.11.2025
Данная инструкция описывает процесс единого входа (Single Sign-On, SSO) в ПО Biosmart-Studio v6 с использованием протокола Kerberos. Kerberos позволяет пользователям, уже вошедшим в домен Active Directory (AD) автоматически получать доступ в ПО Biosmart-Studio v6 без повторного ввода логина и пароля. Это повышает удобство и безопасность, так как учетные данные не передаются и не хранятся в ПО Biosmart-Studio v6.
Как это работает?
При входе в Windows пользователь получает от контроллера домена (KDC) специальный билет. При запуске Biosmart-Studio этот билет предъявляется службе для автоматической проверки подлинности. Ключевым элементом этой связки является Service Principal Name (SPN) — уникальный идентификатор, который сообщает KDC, какой службе принадлежит запрос.
| Предупреждение |
|---|
Корректная регистрация SPN является обязательным условием для работы с протоколом Kerberos. |
Необходимые условия
Перед началом настройки, убедитесь, что выполнены следующие условия:
| Подсказка | ||
|---|---|---|
| ||
|
Пошаговая инструкция
Настройка авторизации включает в себя три этапа:
Регистрация SPN в Active Directory.
Настройка службы Biosmart Server (для Windows) или создание keytab файла (для Astra Linux).
Активация и настройка Kerberos-авторизации в интерфейсе Biosmart-Studio.
Этап 1. Регистрация SPN в Active Directory
Настройте SPN в соответствии с инструкцией для ПК с ОС Windows.
| Предупреждение |
|---|
Для регистрации SPN необходимы права администратора домена. |
Этап 2. Настройка службы Biosmart Server или создание keytab файла
Для того, чтобы настроить авторизацию с помощью протокола аутентификации Kerberos, выполните настройку службы Biosmart Server для ПК с ОС Windows или создайте keytab файл для ПК с ОС Astra Linux.
| Анкер | ||||
|---|---|---|---|---|
|
| Expand | ||||
|---|---|---|---|---|
| ||||
Установите или обновите ПО Biosmart-Studio v6 в соответствии со статьей Установка ПО Biosmart-Studio v6 и статьей Обновление на ПК с ОС Windows.
|
| Информация |
|---|
Имя учетной записи можно вводить в формате Username или Username@company.ru При первом входе в ПО Biosmart-Studio с помощью Kerberos необходимо вводить логин и пароль пользователя. |
| Expand | ||
|---|---|---|
| ||
Для автоматического входа с помощью AD нажмите в окне авторизации пользователей кнопку Настройки.
Перейдите на вкладку Дополнительно, установите флаг Автовход и выберите тип автовхода Kerberos.
|
После авторизации в помощью Kerberos в ПО Biosmart-Studio создается пользователь с ролью, указанной на вкладке Авторизация Kerberos.
| Анкер |
|---|
Введите логин, пароль и нажмите кнопку Войти. При первом после установки входе в ПО используйте логин root, пароль пустой.
Введите ранее зарегистрированный SPN.
Поставьте отметку в чекбоксе Разрешить SSO авторизацию, для автоматического входа в систему без ввода имени пользователи и пароля.
Выберите Роль по умолчанию для пользователя, который будет использовать ПО Biosmart-Studio.
Сохраните изменения, нажав на кнопку Сохранить и завершите работу с ПО Biosmart-Studio.
|
| Expand | ||||||
|---|---|---|---|---|---|---|
| ||||||
|
Этап 3. Настройка входа в ПО Biosmart-Studio v6 Анкер Настройка входа Настройка входа
| Настройка входа | |
| Настройка входа |
- Запустите ПО Biosmart-Studio v6. Появится окно авторизации пользователей.
Введите логин
- и нажмите кнопку Войти. При
- первом входе после установки
- ПО используйте логин root, пароль пустой.
После авторизации, в ПО Biosmart-Studio
v6 перейдите в раздел Справочники
Kerberos → Авторизация Kerberos.
Введите ранее зарегистрированный SPN.
Выберите Роль по умолчанию для пользователя, который будет
использовать ПО Biosmart-Studio v6.
Информация Роль по умолчанию применяется только для новых пользователей ПО Biosmart-Studio v6. Если пользователь добавлен в домен AD, но не создан в ПО Biosmart-Studio v6, то при первой авторизации будет автоматически создан пользователь с выбранной ролью по умолчанию.
Сохраните изменения, нажав на кнопку Сохранить и завершите работу
с ПО Biosmart-Studio v6.
Для входа в ПО Biosmart-Studio v6 с помощью Kerberos запустите ПО Biosmart-Studio v6, перейдите на вкладку Kerberos и введите имя учетной записи и пароль.
| title | Автовход с помощью AD |
|---|
Информация Имя учетной записи можно вводить в формате Username или Username@realm.
При использовании короткого формата Username для входа в ПО Biosmart-Studio v6 будет использоваться текущий домен.
При первом входе в ПО Biosmart-Studio v6 с помощью Kerberos необходимо вводить логин и пароль пользователя.
- При использовании протокола аутентификации Kerberos можно настроить автоматический вход в ПО Biosmart-Studio v6.
Настроить автоматических вход можно двумя способами:- с помощью SSO авторизации (используется учетная запись пользователя, авторизованного в AD, для входа в ПО Biosmart-Studio v6 необходимо нажать кнопку Войти);
- с помощью автовхода (используется SSO авторизация, при открытии ПО Biosmart-Studio v6).
- Для автоматического входа в систему без ввода имени пользователи и пароля поставьте отметку в чекбоксе Разрешить SSO авторизацию в разделе Справочники → Настройки LDAP/Kerberos → Авторизация Kerberos.
Для автоматического входа с помощью
автовхода нажмите в окне авторизации пользователей кнопку Настройки.
Перейдите на вкладку Дополнительно, установите флаг Автовход и выберите тип автовхода Kerberos.
Информация Автовход с использованием Kerberos работает только в связке с SSO-авторизацией. Это необходимо для безопасной работы, чтобы не хранить пароли в открытом виде.
Результат
После авторизации в помощью Kerberos в
ПО BiosmartПО Biosmart-Studio v6 создается пользователь с ролью, указанной на вкладке Авторизация Kerberos, если пользователь не был создан ранее.
При необходимости можно отредактировать роль пользователя в разделе Редактирование свойств пользователя.
Справочник терминов
Для удобства ниже приведены определения ключевых понятий, используемых в инструкции.
| Термин | Определение |
|---|---|
| Kerberos | Протокол взаимной аутентификации сервера и клиента при участии доверенной третьей стороны (KDC). Обеспечивает защиту данных даже при передаче по незащищенной сети. |
| Realm | Домен аутентификации в инфраструктуре Kerberos, который управляется одним или несколькими KDC. |
| KDC (Key Distribution Center) | Центр распределения ключей — контроллер домена, отвечающий за аутентификацию и распределение билетов. |
| SPN (Service Principal Name) | Уникальный идентификатор, который связывает сервер с учетной записью пользователя домена. |
| SSO (Single Sign-On) | Механизм аутентификации, позволяющий пользователю автоматически авторизовываться в ПО без повторного ввода логина и пароля. |
Связанные статьи:
| Контент по метке | ||||||||||
|---|---|---|---|---|---|---|---|---|---|---|
|
| Контент по метке | ||||||
|---|---|---|---|---|---|---|
|
| Контент по метке | ||||||
|---|---|---|---|---|---|---|
|