Сквозная аутентификация в браузерах

Chromium
Яндекс
Mozilla Firefox
SSO для нескольких доменов

Окружение

• Версия РЕД ОС: 7.3
• Конфигурация: Рабочая станция

Технология единого входа (англ. Single Sign-On) - это механизм, позволяющий пользователю пройти аутентификацию (вход со своими учетными данными) единовременно и получить доступ к различным программным продуктам, используя один идентификатор.

Предварительно необходимо ввести в домен компьютер по инструкции и убедиться, что доменный пользователь получает билет Kerberos.

Chromium

Создайте папку, выполнив в консоли команду от пользователя root:

 mkdir -p /etc/chromium/policies/managed/

В ней создайте файл mydomain.json следующего содержания:

{
"AuthServerAllowlist": "*.example.test",
"AuthNegotiateDelegateAllowlist": "*.example.test"
}

где *.example.test - имя вашей kerberos-области (realm).

После сохранения файла созданные политики будут отображаться в браузере по адресу chrome://policy.

Яндекс

Создайте папку, выполнив в консоли команду от пользователя root:

 mkdir -p /etc/opt/yandex/browser/policies/managed/

В папке managed создайте файл mydomain.json и добавьте в него код:

{
"AuthServerAllowlist": "*.domain",
"AuthNegotiateDelegateAllowlist": "*.domain"
}

где *.domain — имя Kerberos-области (realm).

После сохранения файла созданные политики будут отображаться в браузере по адресу browser://policy/.

Mozilla Firefox

В адресной строке введите about:config, затем необходимо согласиться с тем, что вы понимаете риски.

В строке поиска найдите параметры:

 network.negotiate-auth.trusted-uris,
 network.automatic-ntlm-auth.trusted-uris,
 network.negotiate-auth.delegation-uris

и укажите в этих параметрах имя вашей kerberos-области (realm):

 .example.test

Теперь вы можете успешно войти на сайт, поддерживающий SSO, под доменным пользователем.

SSO для нескольких доменов

Для включения технологии единого входа для нескольких доменов синтаксис файла .json должен быть иметь следующий вид:

{
"AuthNegotiateDelegateAllowlist": "domain1.example.com,domain2.example.com" 
"AuthServerAllowlist": "URL1,URL2" 
}

Дата последнего изменения: 24.09.2024

Если вы нашли ошибку, пожалуйста, выделите текст и нажмите Ctrl+Enter.