Аутентификация по протоколу Kerberos используется при обращении к веб-клиенту внутри сети. При обращении извне, например, из дома, для аутентификации используется протокол NTLM.
ВАЖНО. Чтобы в Ubuntu в веб-клиенте корректно работала Kerberos-аутентификация, введите компьютер в домен Windows. Подробнее см. в документации Ubuntu статью «Ввод компьютера в домен Windows».
Для настройки Kerberos-аутентификации:
1.Запустите Диспетчер служб IIS, в нем последовательно перейдите в узел сайты, DirectumRX Web Site Name, Client (по умолчанию).
2.На открывшейся странице в столбце «Имя возможности функции» выделите возможность «Проверка подлинности», щелкните два раза левой кнопкой мыши.
3.В открывшемся окне укажите значения:
•Анонимная проверка подлинности – Включен;
•Проверка подлинности Windows – Отключен.
Примечание. Если Directum RX устанавливается впервые, то настройка Проверка подлинности Windows в списке отсутствует. В этом случае ничего делать не нужно.
4.Перезапустите службы IIS, чтобы изменения применились. Для этого выполните одно из действий:
•в диспетчере служб IIS на панели «Подключения» выделите имя сервера, затем справа на панели «Действия» нажмите на ссылку Перезапустить;
•в командной строке, запущенной от имени администратора, выполните команду:
iisreset
5.Далее порядок действий зависит от того, как развернута система. Если развернут один экземпляр веб-сервера, то аутентификация выполняется по умолчанию средствами веб-сервера HTTP.sys. В этом случае проверьте, есть ли для адреса веб-сервера Directum RX зарегистрированный SPN – уникальный идентификатор экземпляра сервиса. Для этого запустите команду в PowerShell:
setspn -Q HTTP/<адрес сервера>
Дальнейшие действия зависят от того, совпадает ли адрес сервера с именем сервера, на котором он развернут:
•если адрес с именем совпадают, сделайте следующее:
Проверьте условие |
Выполните действие |
|---|---|
SPN найден |
SPN необходимо удалить. Для этого введите команду: setspn -D HTTP/<адрес сервера> <имя пользователя или сервера> |
SPN отсутствует |
Дополнительных действий не требуется |
•если адрес с именем не совпадают, сделайте следующее:
Проверьте условие |
Выполните действие |
|---|---|
SPN найден |
Если найденный SPN привязан к имени сервера, то оставьте его. Иначе удалите этот SPN. Для этого введите команду: setspn -D HTTP/<адрес сервера> <имя пользователя или сервера> После этого создайте новый SPN. Для этого введите команду: setspn -S HTTP/<адрес сервера> <имя сервера> |
SPN отсутствует |
Создайте новый SPN. Для этого введите команду: setspn -S HTTP/<адрес сервера> <имя сервера> |
6.Если используется несколько экземпляров веб-сервера, объединенных в веб-ферму, то нужно сменить использование HTTP.sys на веб-сервер Kestrel. Для этого выполните действия из раздела «Смена веб-сервера HTTP.sys на Kestrel».
8.В конфигураторе Directum Launcher в секции Общие настройки (common_config) добавьте параметр EXTERNAL_AUTHENTICATION_TYPE со значением Windows:
EXTERNAL_AUTHENTICATION_TYPE: 'Windows'
| © Компания Directum, 2024 |