Настройка доменной аутентификации Kerberos
Процесс настройки доменной аутентификации описан в официальной справке.
Если после этого возникли проблемы с авторизацией или всплывает окно для ввода учетных данных, то:
1) Проверка keytab файла
Установите MIT Kerberos for Windows: https://web.mit.edu/kerberos/dist/kfw/
И выполните:
"C:\Program Files (x86)\MIT\Kerberos\bin\klist.exe" -k -t -e C:\<путь>\<имя>.keytabПравильный вывод:
| KVNO | Timestamp | Principal |
| 3 | 01/01/70 03:00:00 | HTTP/console.xdr.sales.lab@SALES.LAB (AES-256 CTS...) |
Частые ошибки это двойные бэкслеши HTTP\\console..., либо неправильное шифрование etype: arcfour-hmac, либо kvno указан иной. В этом случае, то пересоздайте keytab, указав верные данные, включая учетную запись, к который прикреплен SPN.
2) Настройка браузера для SSO
Быстрая локальная проверка - это запуск браузера с параметрами:
chrome.exe --auth-server-allowlist="*.<smp.domain>"
msedge.exe --auth-server-allowlist="*.<smp.domain>"Закрепить результат можно через Group Policy Management Editor (gpme.msc) перейдите в Computer Configuration → Preferences → Windows Settings → Registry и добавьте элемент со следующими значениями:
| Параметр | Значение для Chrome | Значение для Edge |
| Action | Update | Update |
| Hive | HKEY_LOCAL_MACHINE | HKEY_LOCAL_MACHINE |
| Key Path | SOFTWARE\Policies\Google\Chrome | SOFTWARE\Policies\Microsoft\Edge |
| Value name | AuthServerAllowlist | AuthServerAllowlist |
| Value type | REG_SZ | REG_SZ |
| Value data | *.<smp.domain> | *.<smp.domain> |
Также можно добавить изменение в локальный реестр:
reg add "HKLM\SOFTWARE\Policies\Google\Chrome" /v AuthServerAllowlist /t REG_SZ /d "*.<smp.domain>" /f
reg add "HKLM\SOFTWARE\Policies\Microsoft\Edge" /v AuthServerAllowlist /t REG_SZ /d "*.<smp.domain>" /fДля корпоративных браузеров можно использовать ADMX шаблоны.
При изменении политики на клиентском ПК необходимо выполнить:
gpupdate /force3) Legacy способ с настройкой системной зоны
В локальной политике или групповой политике перейти в Computer Configuration → Administrative Templates → Windows Components → Internet Explorer → Internet Control Panel → Security Page и для Site to Zone Assignment List добавить содержание *.<smp.domain> со значением 1.
При изменении политики на клиентском ПК необходимо выполнить:
gpupdate /forceСпособ устаревший и уже не применяется для браузера Mozilla Firefox!