Настройка приложения
Приложение (VISMIND) реализует авторизацию через Kerberos-тикет на уровне бэкенда. При этом попытка входа будет осуществляться автоматически при входе на главную страницу приложения. Для авторизации пользователя используется API, которое позволяет получить информацию о пользователе и его группах. На стороне клиентского приложения дополнительных настроек, кроме включения авторизации, не требуется.
Если адрес приложения не добавлен в доверенные, браузер не сможет провести авторизацию. Подробнее о настройке клиентов можно прочитать в разделе Настройка клиентов для Kerberos аутентификации
Для подключения необходимо указать свой логин в формате DOMAIN\username** и пароль во всплывающем окне.
Работа с SPNEGO и Kerberos аутентификацией
Для настройки сквозной авторизации с использованием SPNEGO Kerberos тикетов, когда авторизация происходит с помощью доменной учетной записи, необходимо выполнить несколько шагов.
Включить доступ к механизмам авторизации в приложении, установив конфигурацию:
# --- Механизм взаимной аутентификации клиента и сервера ---
# --- перед установлением связи между ними ---
# --- Kerberos ---
kerberos_allow_login = 1 # Использовать kerberos
kerberos_system_user_login = "kerbuser"
# Логин подключения kerberos
kerberos_system_user_password = "Pa$$word"
# Пароль подключения kerberos
Для корректной работы необходимы сгенерировать администратором AD-файлы:
krb5.conf # файл конфигурации подключения к AD для библиотеки gssapi
krb5.keytab # файл, сгенерированный для приложения на сервере AD
Задать корректный hostname для серверной части приложения.