Перед настройкой

1.Компьютер с веб-сервером и клиентские компьютеры включите в один домен и DNS-сервер, с которым работает контроллер домена.

2.Настройте вход в клиентские компьютеры под доменной учетной записью через PAM модуль, работающий с протоколом Kerberos. Порядок настройки зависит от используемого дистрибутива Linux. Например, см. в документации Astra Linux статью Kerberos.

3.На клиентских компьютерах настройте браузеры для работы с Kerberos. Подробнее см. документацию ALT Linux, статью «Использование Kerberos», раздел «Браузеры».

4.При использовании службы каталогов Active Directory логины пользователей хранятся в БД системы Directum RX в формате Login@REALM, дополнительная настройка не требуется. Если используется служба каталогов Samba4, то для работы с Kerberos укажите логины пользователей в БД в формате Login@REALM.

Порядок настройки

1.Сгенерируйте идентификатор SPN и keytab-файл. Порядок генерации зависит от используемой службы каталогов:

•Active Directory – подробнее см. в документации Microsoft статью Configure Windows Authentication in ASP.NET Core;

•Samba4 – подробнее см. в документации Samba статью Generating Keytabs и в документации ALT Linux статью «Создание SPN и Keytab-файла».

2.На компьютер с веб-сервером скопируйте keytab-файл, который содержит ключи для SPN с именем HTTP/<fqdn>@REALM, где:

•fqdn – полное доменное имя компьютера;

•REALM – краткое имя домена.

3.Настройте Kerberos для работы с keytab-файлом. Для этого укажите протокол Kerberos в конфигурационном файле Kerberos krb5.conf или используйте другой способ, который подходит для данного дистрибутива Linux.

4.В конфигураторе Directum Launcher в секции Общие настройки (common_config) добавьте параметр EXTERNAL_AUTHENTICATION_TYPE со значением Kerberos:

EXTERNAL_AUTHENTICATION_TYPE: 'Kerberos'

СМ. ТАКЖЕ