Autenticazione di Windows - Kerberos
Kerberos è un protocollo di autenticazione che utilizza i ticket crittografici per evitare la trasmissione di password come testo normale. I client ottengono i TGT (Ticket Granting Ticket) dal Key Distribution Center (KDC) di Kerberos e presentano tali ticket come credenziali di rete per l'accesso ai servizi.
In Host Access for the Cloud, Kerberos consente agli utenti finali di accedere alle proprie sessioni host sul server di sessione senza la richiesta di credenziali.
Nota
È supportata anche l'autenticazione Kerberos agli host AS/400, tuttavia tale funzionalità non è ancora integrata con Kerberos per l'autenticazione degli utenti finali che accedono al server di sessione.
È possibile abilitare e configurare l'autenticazione Kerberos in MSS, quindi abilitarla su ciascun server di sessione nella distribuzione. Consultare la documentazione di Kerberos in MSS per informazioni sui requisiti e per ulteriori informazioni sulla configurazione e sull'utilizzo di Kerberos.
Di seguito sono elencati i passaggi principali relativi all'utilizzo dell'autenticazione Kerberos in Host Access for the Cloud.
Passaggi per abilitare e configurare Kerberos
- Enable and configure Kerberos in MSS (Abilitare e configurare Kerberos in MSS)
- Configurare ciascun server di sessione HACloud per Kerberos
- Configurare il browser per Kerberos
- Avviare sessioni
Configurare Kerberos sul server di sessione
Per configurare un server di sessione per l'esecuzione di Kerberos, modificare service.yml e aggiungere il profilo oauth:
-
Aprire
<directory-installazione>/sessionserver/microservices/sessionserver/service.yml
. -
Aggiungere oauth al set di profili attivi:
- name: SPRING_PROFILES_ACTIVE value: tls, oauth
-
Riavviare il server di sessione.
Facoltativamente, se si configura una distribuzione ad alta disponibilità con sistemi di bilanciamento del carico, è necessario configurare il profilo oauth (passaggio precedente) e le proprietà seguenti nel file service.yml in ciascun server di sessione.
-
Configurare l'URL del sistema di bilanciamento del carico di MSS. Il server di sessione reindirizzerà gli utenti a questo URL per l'autenticazione.
- name: AUTHSVC_HOST value: {URL HTTPS del sistema di bilanciamento del carico di MSS}
-
Configurare il nome di dominio del sistema di bilanciamento del carico del server di sessione. MSS reindirizzerà nuovamente a questo server dopo l'autenticazione di un utente.
- name: PROXY_DOMAIN value: {FQDN del sistema di bilanciamento del carico del server di sessione}
-
Configurare la porta utilizzata per l'accesso al server di sessione tramite il sistema di bilanciamento del carico del server di sessione.
- name: PROXY_PORT value: {numero di porta nel sistema di bilanciamento del carico del server di sessione}
-
Riavviare il server di sessione.
Esempio
- name: SPRING_PROFILES_ACTIVE
value: tls, oauth
(Se si utilizzano sistemi di bilanciamento del carico...)
- name: AUTHSVC_HOST
value: https://mss-load-balancer.mydomain.com
- name: PROXY_DOMAIN
value: sessionserver-load-balancer.mydomain.com
- name: PROXY_PORT
value: 7443
Configurare il browser per Kerberos
Per eseguire l'accesso utilizzando Kerberos, è necessario che il browser sia configurato correttamente per l'autenticazione Windows tramite Kerberos e che il computer sia membro del dominio appropriato (area di autenticazione Kerberos). Per istruzioni su come abilitare Kerberos, consultare la guida del browser in uso.
Avviare sessioni
Nota
L'autenticazione Kerberos non è attualmente supportata dall'elenco Assigned Sessions (Sessioni assegnate). È disponibile solo durante l'accesso tramite il server di sessione.
Le sessioni HACloud non necessitano di configurazioni aggiuntive per l'avvio e l'autenticazione mediante Kerberos, purché il browser sia stato configurato correttamente per l'autenticazione Windows e per Kerberos. Accedere a https://server_sessione-lb.miodominio.com:7443 e si eseguirà automaticamente l'accesso al server di sessione HACloud.