Vai al contenuto

Autenticazione di Windows - Kerberos

Kerberos è un protocollo di autenticazione che utilizza i ticket crittografici per evitare la trasmissione di password come testo normale. I client ottengono i TGT (Ticket Granting Ticket) dal Key Distribution Center (KDC) di Kerberos e presentano tali ticket come credenziali di rete per l'accesso ai servizi.

In Host Access for the Cloud, Kerberos consente agli utenti finali di accedere alle proprie sessioni host sul server di sessione senza la richiesta di credenziali.

Nota

È supportata anche l'autenticazione Kerberos agli host AS/400, tuttavia tale funzionalità non è ancora integrata con Kerberos per l'autenticazione degli utenti finali che accedono al server di sessione.

È possibile abilitare e configurare l'autenticazione Kerberos in MSS, quindi abilitarla su ciascun server di sessione nella distribuzione. Consultare la documentazione di Kerberos in MSS per informazioni sui requisiti e per ulteriori informazioni sulla configurazione e sull'utilizzo di Kerberos.

Di seguito sono elencati i passaggi principali relativi all'utilizzo dell'autenticazione Kerberos in Host Access for the Cloud.

Passaggi per abilitare e configurare Kerberos

  1. Enable and configure Kerberos in MSS (Abilitare e configurare Kerberos in MSS)
  2. Configurare ciascun server di sessione HACloud per Kerberos
  3. Configurare il browser per Kerberos
  4. Avviare sessioni

Configurare Kerberos sul server di sessione

Per configurare un server di sessione per l'esecuzione di Kerberos, modificare service.yml e aggiungere il profilo oauth:

  1. Aprire <directory-installazione>/sessionserver/microservices/sessionserver/service.yml.

  2. Aggiungere oauth al set di profili attivi:

    - name: SPRING_PROFILES_ACTIVE
      value: tls, oauth
    
  3. Riavviare il server di sessione.

Facoltativamente, se si configura una distribuzione ad alta disponibilità con sistemi di bilanciamento del carico, è necessario configurare il profilo oauth (passaggio precedente) e le proprietà seguenti nel file service.yml in ciascun server di sessione.

  1. Configurare l'URL del sistema di bilanciamento del carico di MSS. Il server di sessione reindirizzerà gli utenti a questo URL per l'autenticazione.

    - name: AUTHSVC_HOST
      value: {URL HTTPS del sistema di bilanciamento del carico di MSS}
    
  2. Configurare il nome di dominio del sistema di bilanciamento del carico del server di sessione. MSS reindirizzerà nuovamente a questo server dopo l'autenticazione di un utente.

    - name: PROXY_DOMAIN
      value: {FQDN del sistema di bilanciamento del carico del server di sessione}
    
  3. Configurare la porta utilizzata per l'accesso al server di sessione tramite il sistema di bilanciamento del carico del server di sessione.

    - name: PROXY_PORT
      value: {numero di porta nel sistema di bilanciamento del carico del server di sessione}
    
  4. Riavviare il server di sessione.

Esempio

    - name: SPRING_PROFILES_ACTIVE
      value: tls, oauth
    (Se si utilizzano sistemi di bilanciamento del carico...)
    - name: AUTHSVC_HOST
      value: https://mss-load-balancer.mydomain.com
    - name: PROXY_DOMAIN
      value: sessionserver-load-balancer.mydomain.com
    - name: PROXY_PORT
      value: 7443

Configurare il browser per Kerberos

Per eseguire l'accesso utilizzando Kerberos, è necessario che il browser sia configurato correttamente per l'autenticazione Windows tramite Kerberos e che il computer sia membro del dominio appropriato (area di autenticazione Kerberos). Per istruzioni su come abilitare Kerberos, consultare la guida del browser in uso.

Avviare sessioni

Nota

L'autenticazione Kerberos non è attualmente supportata dall'elenco Assigned Sessions (Sessioni assegnate). È disponibile solo durante l'accesso tramite il server di sessione.

Le sessioni HACloud non necessitano di configurazioni aggiuntive per l'avvio e l'autenticazione mediante Kerberos, purché il browser sia stato configurato correttamente per l'autenticazione Windows e per Kerberos. Accedere a https://server_sessione-lb.miodominio.com:7443 e si eseguirà automaticamente l'accesso al server di sessione HACloud.