Назад | Перейти на главную страницу

Windows - Kerberos SSO вне домена

Сам пытался разобраться, но безуспешно. Google предлагает множество руководств, но я не смог найти ни одного для случая ниже.

У нас есть внешний сотрудник, имеющий доступ к нашей локальной сети через VPN, и ему необходимо получить доступ к некоторым нашим веб-приложениям. Его рабочая станция работает под управлением Windows 7 Professional. Веб-приложения могут принимать только SSO на основе Kerberos аутентификация - аутентификация пароля отключена из-за политики безопасности и не может быть изменена. Kerberos AS / KDC предоставляются Windows Server 2008 R2-уровень домена, членом которого не является его рабочая станция.

Как мы можем настроить аутентификацию Kerberos с его рабочей станции не добавляя его в домен? До сих пор я использовал только для настройки систем на базе UNIX с Kerberos. Под Windows я могу придумать два разных решения:

  1. Установить внешний Kerberos библиотеки (т.е. MIT Kerberos для Windows) - я предполагаю, что процесс настройки аналогичен UNIX (т. е. редактирование krb5.conf, установите область по умолчанию и включите определение местоположения KDC на основе DNS).

  2. Настроить встроенный в Windows клиент Kerberos без добавления рабочей станции в домен - не уверен, что это вообще возможно.

Нам нужно заставить SSO работать в Mozilla Firefox. Если мы используем первое решение, я предполагаю, что мы должны установить network.negotiate-auth.gsslib к внешнему пути Kerberos DLL. Может ли эта установка работать должным образом? Из приведенных выше вариантов настоятельно рекомендуется последний, так как мы хотели бы избежать внешних зависимостей и возможных несовместимостей.