Autenticación de Windows: Kerberos
Kerberos es un protocolo de autenticación que utiliza tickets criptográficos para evitar la transmisión de contraseñas de texto sin formato. Los clientes obtienen tickets de concesión de tickets del Centro de distribución de claves Kerberos (KDC) y presentan esos tickets como sus credenciales de red para obtener acceso a los servicios.
En Host Access for the Cloud, Kerberos permite a los usuarios finales acceder a sus sesiones de host en el servidor de sesión sin que se soliciten las credenciales.
Nota
También se admite la autenticación Kerberos en los hosts AS/400, pero esta funcionalidad aún no está integrada en Kerberos para autenticar a los usuarios finales que acceden al servidor de sesión.
La autenticación Kerberos se habilita y se configura en MSS y, a continuación, se activa en cada servidor de sesión de la distribución. Consulte la documentación de Kerberos en MSS para obtener más información sobre los requisitos, además de sobre la configuración y el uso de Kerberos.
A continuación, se detallan los pasos generales para utilizar la autenticación Kerberos en Host Access for the Cloud.
Pasos para habilitar y configurar Kerberos
- Enable and configure Kerberos in MSS (Habilitar y configurar Kerberos en MSS)
- Configurar cada servidor de sesión de HACloud para Kerberos
- Configurar el navegador para Kerberos
- Lanzar sesiones
Configurar Kerberos en el servidor de sesión
Para configurar un servidor de sesión para ejecutar Kerberos, edite el archivo service.yml y añada el perfil oauth:
-
Abra
<directorio de instalación>/sessionserver/microservices/sessionserver/service.yml
. -
Añada oauth al conjunto de perfiles activos:
- name: SPRING_PROFILES_ACTIVE value: tls, oauth
-
Reinicie el servidor de sesión.
De forma opcional, si se configura una distribución de alta disponibilidad con equilibradores de carga, deben configurarse el perfil oauth (paso anterior) y las siguientes propiedades en el archivo service.yml de cada servidor de sesión.
-
Configure la dirección URL del equilibrador de carga de MSS. El servidor de sesión redirigirá a los usuarios a esta dirección URL para la autenticación.
- name: AUTHSVC_HOST value: {dirección URL del equilibrador de carga de MSS}
-
Configure el nombre de dominio del equilibrador de carga del servidor de sesión. MSS redirigirá de nuevo a este servidor después de que se autentique un usuario.
- name: PROXY_DOMAIN value: {nombre completo del equilibrador de carga del servidor de sesión}
-
Configure el puerto que se utilizará cuando se acceda al servidor de sesión a través del equilibrador de carga del servidor de sesión.
- name: PROXY_PORT value: {número de puerto del equilibrador de carga del servidor de sesión}
-
Reinicie el servidor de sesión.
Ejemplo
- name: SPRING_PROFILES_ACTIVE
value: tls, oauth
(Si se utilizan equilibradores de carga...)
- name: AUTHSVC_HOST
value: https://mss-load-balancer.mydomain.com
- name: PROXY_DOMAIN
value: sessionserver-load-balancer.mydomain.com
- name: PROXY_PORT
value: 7443
Configurar el navegador para Kerberos
Para poder entrar a la sesión mediante Kerberos, el navegador debe estar configurado correctamente para la autenticación de Windows mediante Kerberos y el equipo debe ser miembro del dominio adecuado (dominio de Kerberos). Consulte la ayuda del navegador para obtener instrucciones sobre cómo habilitar Kerberos.
Lanzar sesiones
Nota
Actualmente, la autenticación Kerberos no es compatible con la lista de sesiones asignadas. Solo está disponible cuando se entra a través del servidor de sesión.
Las sesiones de HACloud no necesitan ninguna configuración adicional para iniciarse y autenticarse con Kerberos, siempre que el navegador se haya configurado correctamente para la autenticación de Windows / Kerberos. Solo tiene que ir a https://session-server-lb.mydomain.com:7443 y entrará automáticamente al servidor de sesión de HACloud.