Важно. По умолчанию в Microsoft Windows сквозная аутентификация по протоколам Kerberos и NTLM выполняется средствами веб-сервера HTTP.sys. При этом Kerberos в HTТP.sys работает в режиме ядра. Это значит, что аутентификация по протоколу Kerberos не работает, когда при развертывании системы настроено несколько экземпляров веб-сервера, объединенных в веб-ферму. В этой ситуации необходимо сменить HTTP.sys на веб-сервер Kestrel. Иначе сквозная аутентификация по протоколу Kerberos не будет работать.

При смене веб-сервера учитывайте особенности:

Чтобы сменить HTTP.sys на Kestrel:

1.В конфигураторе Directum Launcher в секцию Общие настройки (common_config) добавьте параметр CAN_USE_HTTPSYS – допускается использование веб-сервера HTTP.sys для аутентификации. Для параметра снимите флажок (false). Для аутентификации станет использоваться веб-сервер Kestrel.

2.Создайте пользователя домена. Пользователь должен входить в роли «Администратор», «Пользователь домена», «Пользователь».

3.В оснастке Службы измените пользователя, от имени которого запускается служба DirectumRXServiceRunner – агент управления сервисами Directum RX. Укажите ранее созданного пользователя.

4.От имени администратора домена зарегистрируйте привязку SPN для адреса веб-сервера, по которому пользователи будут входить в систему, и имени доменного пользователя. Для этого запустите утилиту PowerShell от имени администратора.

5.В открывшемся окне введите команду:

setspn -S HTTP/<адрес сервера> <домен пользователя>\<логин>

Пример команды:

setspn -S HTTP/webserver.domain.local domain\rxadmin

6.Убедитесь, что SPN создан. Для этого проверьте список всех SPN с помощью команды:

setspn -L <домен пользователя>\<логин>

Пример команды:

setspn -L domain\rxadmin

7.В оснастке контроллера домена на вкладке «Делегирование» для пользователя домена установите флажок Доверять этому пользователю делегирование служб (Kerberos).

Примечание. В зависимости от значения параметра CAN_USE_HTTPSYS меняется порядок настройки работы в браузере Mozilla Firefox.