# Настройка доменной аутентификации Kerberos

Процесс настройки доменной аутентификации описан [в официальной справке](https://support.kaspersky.ru/kedr-expert-on-premise/8.0/310242). Обратите внимание, что keytab выписывается на console.<smp.domain>.

Если после этого возникли проблемы с авторизацией или всплывает окно для ввода учетных данных, то:

**1) Проверка keytab файла**

Установите MIT Kerberos for Windows: [https://web.mit.edu/kerberos/dist/kfw/](https://web.mit.edu/kerberos/dist/kfw/)

И выполните:

```powershell
"C:\Program Files (x86)\MIT\Kerberos\bin\klist.exe" -k -t -e C:\<путь>\<имя>.keytab
```

Правильный вывод:

<table border="1" id="bkmrk-kvno-timestamp-princ" style="border-collapse: collapse; width: 69.4048%; height: 59.2px;"><colgroup><col style="width: 11.4504%;"></col><col style="width: 25.4453%;"></col><col style="width: 63.068%;"></col></colgroup><tbody><tr style="height: 29.6px;"><td style="height: 29.6px;">**KVNO**</td><td style="height: 29.6px;">**Timestamp**</td><td style="height: 29.6px;">**Principal**</td></tr><tr style="height: 29.6px;"><td style="height: 29.6px;">3</td><td style="height: 29.6px;">01/01/70 03:00:00</td><td style="height: 29.6px;">HTTP/console.xdr.sales.lab@SALES.LAB (AES-256 CTS...)</td></tr></tbody></table>

Частые ошибки это двойные бэкслеши **HTTP\\\\console...**, либо неправильное шифрование **etype: arcfour-hmac**, либо kvno указан иной. В этом случае, то пересоздайте keytab, указав верные данные, включая учетную запись, к который прикреплен SPN.

**2) Настройка браузера для SSO**

Быстрая локальная проверка - это запуск браузера с параметрами:

```powershell
chrome.exe --auth-server-allowlist="*.<smp.domain>"
msedge.exe --auth-server-allowlist="*.<smp.domain>"
```

Закрепить результат можно через Group Policy Management Editor (gpme.msc) перейдите в **Computer Configuration → Preferences → Windows Settings → Registry** и добавьте элемент со следующими значениями:

<table border="1" id="bkmrk-%D0%9F%D0%B0%D1%80%D0%B0%D0%BC%D0%B5%D1%82%D1%80-%D0%97%D0%BD%D0%B0%D1%87%D0%B5%D0%BD%D0%B8%D0%B5-%D0%B4%D0%BB" style="border-collapse: collapse; width: 100%;"><colgroup><col style="width: 33.3333%;"></col><col style="width: 33.3333%;"></col><col style="width: 33.3333%;"></col></colgroup><tbody><tr><td class="align-center">**Параметр**</td><td class="align-center">**Значение для Chrome**</td><td class="align-center">**Значение для Edge**</td></tr><tr><td>Action</td><td>Update</td><td>Update</td></tr><tr><td>Hive</td><td>HKEY\_LOCAL\_MACHINE</td><td>HKEY\_LOCAL\_MACHINE</td></tr><tr><td>Key Path</td><td>SOFTWARE\\Policies\\Google\\Chrome</td><td>SOFTWARE\\Policies\\Microsoft\\Edge</td></tr><tr><td>Value name</td><td>AuthServerAllowlist</td><td>AuthServerAllowlist</td></tr><tr><td>Value type</td><td>REG\_SZ</td><td>REG\_SZ</td></tr><tr><td>Value data</td><td>\*.&lt;smp.domain&gt;</td><td>\*.&lt;smp.domain&gt;</td></tr></tbody></table>

Также можно добавить изменение в локальный реестр:

```powershell
reg add "HKLM\SOFTWARE\Policies\Google\Chrome" /v AuthServerAllowlist /t REG_SZ /d "*.<smp.domain>" /f
reg add "HKLM\SOFTWARE\Policies\Microsoft\Edge" /v AuthServerAllowlist /t REG_SZ /d "*.<smp.domain>" /f
```

Для корпоративных браузеров можно использовать ADMX шаблоны.

При изменении политики на клиентском ПК необходимо выполнить:

```powershell
gpupdate /force
```

**3) Legacy способ с настройкой системной зоны**

В локальной политике или групповой политике перейти в **Computer Configuration → Administrative Templates → Windows Components → Internet Explorer → Internet Control Panel → Security Page** и для **Site to Zone Assignment List** добавить содержание **\*.&lt;smp.domain&gt;** со значением **1**.

При изменении политики на клиентском ПК необходимо выполнить:

```powershell
gpupdate /force
```

Способ устаревший и уже не применяется для браузера Mozilla Firefox!