Zum Inhalt

Windows-Authentifizierung – Kerberos

Kerberos ist ein Authentifizierungsprotokoll, das Verschlüsselungstickets verwendet, um das Übertragen von Klartextpasswörtern zu vermeiden. Clients erhalten Ticket-Granting-Tickets von Kerberos Key Distribution Center (KDC) und legen diese Tickets als Netzwerkberechtigung vor, um Zugriff auf Dienste zu erhalten.

In Host Access for the Cloud ermöglicht Kerberos Endbenutzern den Zugriff auf ihre Hostsitzungen auf dem Sitzungsserver, ohne zur Eingabe des Berechtigungsnachweises aufgefordert zu werden.

Hinweis

Die Kerberos-Authentifizierung bei AS/400-Hosts wird ebenfalls unterstützt, diese Funktionalität ist jedoch für die Authentifizierung von Endbenutzern für den Zugriff auf den Sitzungsserver noch nicht in Kerberos integriert.

Sie aktivieren und konfigurieren die Kerberos-Authentifizierung in MSS und aktivieren sie dann auf jedem Sitzungsserver in Ihrer Bereitstellung. Informationen zu den Anforderungen und weitere Informationen zum Konfigurieren und Verwenden von Kerberos finden Sie in der Kerberos-Dokumentation in MSS.

Im Folgenden sind die allgemeinen Schritte zur Verwendung der Kerberos-Authentifizierung in Host Access for the Cloud aufgeführt.

Schritte zum Aktivieren und Konfigurieren von Kerberos

  1. Kerberos in MSS aktivieren und konfigurieren
  2. Jeden HACloud-Sitzungsserver für Kerberos konfigurieren
  3. Browser für Kerberos konfigurieren
  4. Sitzungen starten

Kerberos auf dem Sitzungsserver konfigurieren

Um einen Sitzungsserver zur Ausführung von Kerberos zu konfigurieren, bearbeiten Sie die Datei „service.yml“ und fügen Sie das oauth-Profil hinzu:

  1. Öffnen Sie die Datei <Installationsverzeichnis>/sessionserver/microservices/sessionserver/service.yml.

  2. Fügen Sie oauth zum Satz aktiver Profile hinzu:

    - name: SPRING_PROFILES_ACTIVE
      value: tls, oauth
    
  3. Starten Sie den Sitzungsserver neu.

Wenn Sie optional eine Hochverfügbarkeitsbereitstellung mit Lastverteilern konfigurieren, müssen Sie das oauth-Profil (vorheriger Schritt) und die folgenden Eigenschaften in der Datei „service.yml“ auf jedem Sitzungsserver konfigurieren.

  1. Konfigurieren Sie die URL des MSS-Lastverteilers. Der Sitzungsserver leitet Benutzer zur Authentifizierung an diese URL um.

    - name: AUTHSVC_HOST
      value: {HTTPS-URL des MSS-Lastverteilers}
    
  2. Konfigurieren Sie den Domänennamen des Sitzungsserver-Lastverteilers. MSS adressiert wieder an diesen Server um, nachdem ein Benutzer authentifiziert wurde.

    - name: PROXY_DOMAIN
      value: {FQDN des Sitzungsserver-Lastverteilers}
    
  3. Konfigurieren Sie den Port, der beim Zugriff auf den Sitzungsserver über den Lastverteiler des Sitzungsservers verwendet wird.

    - name: PROXY_PORT
      value: {Portnummer auf dem Sitzungsserver-Lastverteiler}
    
  4. Starten Sie den Sitzungsserver neu.

Beispiel

    - name: SPRING_PROFILES_ACTIVE
      value: tls, oauth
    (Bei Verwendung von Lastverteilern ...)
    - name: AUTHSVC_HOST value: https://mss-load-balancer.mydomain.com
    - name: PROXY_DOMAIN
      value: sessionserver-load-balancer.mydomain.com
    - name: PROXY_PORT
      value: 7443

Browser für Kerberos konfigurieren

Um sich mit Kerberos anzumelden, muss Ihr Browser ordnungsgemäß für die Windows-Authentifizierung über Kerberos konfiguriert sein und Ihr Computer muss Mitglied der richtigen Domäne (Kerberos-Bereich) sein. Anweisungen zum Aktivieren von Kerberos finden Sie in der Hilfe Ihres jeweiligen Browsers.

Sitzungen starten

Hinweis

Die Kerberos-Authentifizierung wird zurzeit von der Liste der zugewiesenen Sitzungen nicht unterstützt. Sie ist nur beim Zugriff über den Sitzungsserver verfügbar.

HACloud-Sitzungen benötigen keine zusätzliche Konfiguration zum Starten und Authentifizieren über Kerberos, sofern Ihr Browser korrekt für die Windows-Authentifizierung/Kerberos konfiguriert ist. Navigieren Sie einfach zu https://session-server-lb.mydomain.com:7443 und Sie werden automatisch beim HACloud-Sitzungsserver angemeldet.