Настройка авторизации с помощью протокола аутентификации Kerberos позволяет обеспечивать безопасный, удобный и централизованный доступ пользователей к ПО Biosmart-Studio v6 с использованием существующих учетных записей домена Active Directory (AD).
Основные понятия и определения:
Kerberos - это протокол взаимной аутентификации сервера и клиента при участии доверенной третьей стороны (KDC). Протокол обеспечивает защиту даже при условии прохождения пакетов по незащищенной сети, где они могут быть перехвачены, модифицированы и перенаправлены злоумышленником.
Realm - это домен аутентификации в инфраструктуре Kerberos, который управляется одним или несколькими KDS.
KDS (Key Distribution Center или Центр распределения ключей) - это контроллер домена, отвечающий за аутентификацию и распределение билетов.
SPN (Service Principal Name) - это уникальный идентификатор, который связывает сервер с учетной записью пользователя домена.
SSO (Single Sign-On) - это механизм аутентификации, позволяющий пользователю автоматически авторизовываться в в ПО Biosmart-Studio v6 без повторного ввода логина и пароля.
Начальная настройка
Для того, чтобы настроить авторизацию с помощью протокола аутентификации Kerberos, выполните настройку службы Biosmart Server для ПК с ОС Windows или создайте keytab файл для ПК с ОС Astra Linux.
Настройка службы для ПК с ОС Windows
Установите или обновите ПО Biosmart-Studio v6 в соответствии со статьей Установка ПО Biosmart-Studio v6 и статьей Обновление на ПК с ОС Windows.
Если ПО Biosmart-Studio v6 на вашем ПК установлено и обновлено, то пропустите первый пункт настройки.
- В окне Вход в систему Biosmart Server выберите С учетной записью и введите название домена и имя учетной записи, укажите пароль от учетной записи.
Завершите установку или обновление по инструкции. Проверьте параметры учетной записи в Службах, для этого откройте окно Управление компьютером, выберите вкладку Службы и приложения, далее Службы.
Откройте свойства службы Biosmart Server с помощью двойного нажатия на службу.
Перейдите на вкладку Вход в систему и проверьте, что выбран параметр входа в систему С учетной записью и имя учетной записи и пароль установлены.Если ПО Biosmart-Studio v6 на вашем ПК установлено и обновлено, то на вкладке Вход в систему выберите параметр входа в систему С учетной записью. Введите имя учетной записи и пароль.
Сохраните изменения, нажав на кнопку ОК.
Создание keytab файла для ПК с ОС Astra Linux
Установите или обновите ПО Biosmart-Studio v6 в соответствии со статьей Установка на ПК с ОС Astra Linux и статьей Обновление на ПК с ОС Astra Linux.
Для авторизации с помощью Kerberos при установке создайте keytab файл с помощью команды:sudo ./bss-install.sh --kerberos или sudo ./bss-install.sh --kerberos --krbuser=UPN --krbpassword=password
При вводе второй команды параметры пользователя будут взяты из командной строки.
Если ПО Biosmart-Studio v6 уже установлено, то для авторизации с помощью Kerberos во время обновления серверной части ПО Biosmart-Studio v6 создайте keytab файл с помощью команды:
sudo ./bss-update.sh --kerberos или sudo ./bss-update.sh --kerberos --krbuser=UPN --krbpassword=password
При вводе второй команды параметры пользователя будут взяты из командной строки.
Настройка входа в ПО Biosmart-Studio v6
- Запустите ПО Biosmart-Studio v6. Появится окно авторизации пользователей.
Введите логин и нажмите кнопку Войти. При первом входе после установки ПО используйте логин root, пароль пустой.
После авторизации, в ПО Biosmart-Studio v6 перейдите в раздел Справочники → Настройки LDAP/Kerberos → Авторизация Kerberos.
Введите ранее зарегистрированный SPN.
Выберите Роль по умолчанию для пользователя, который будет использовать ПО Biosmart-Studio v6.Роль по умолчанию применяется только для новых пользователей ПО Biosmart-Studio v6. Если пользователь добавлен в домен AD, но не создан в ПО Biosmart-Studio v6, то при первой авторизации будет автоматически создан пользователь с выбранной ролью по умолчанию.
Сохраните изменения, нажав на кнопку Сохранить и завершите работу с ПО Biosmart-Studio v6.Для входа в ПО Biosmart-Studio v6 с помощью Kerberos запустите ПО Biosmart-Studio v6, перейдите на вкладку Kerberos и введите имя учетной записи и пароль.
Имя учетной записи можно вводить в формате Username или Username@realm.
При использовании короткого формата Username для входа в ПО Biosmart-Studio v6 будет использоваться текущий домен.
При первом входе в ПО Biosmart-Studio v6 с помощью Kerberos необходимо вводить логин и пароль пользователя.
- При использовании протокола аутентификации Kerberos можно настроить автоматический вход в ПО Biosmart-Studio v6.
Настроить автоматических вход можно двумя способами:- с помощью SSO авторизации;
- с помощью автовхода.
- Для автоматического входа в систему без ввода имени пользователи и пароля поставьте отметку в чекбоксе Разрешить SSO авторизацию в разделе Справочники → Настройки LDAP/Kerberos → Авторизация Kerberos.
Для автоматического входа с помощью автовхода нажмите в окне авторизации пользователей кнопку Настройки.
Перейдите на вкладку Дополнительно, установите флаг Автовход и выберите тип автовхода Kerberos.
После авторизации в помощью Kerberos в ПО Biosmart-Studio v6 создается пользователь с ролью, указанной на вкладке Авторизация Kerberos, если пользователь не был создан ранее.
При необходимости можно отредактировать роль пользователя в разделе Редактирование свойств пользователя.
Связанные статьи: