Интеграция LDAP и аутентификация с помощью технологии единого входа

Настройка аутентификации с помощью доменных учетных записей позволяет пользователям не вводить данные учетной записи Kaspersky Secure Mail Gateway для подключения к веб-интерфейсу программы.

Данная статья описывает процесс настройки интеграции LDAP

---

Подготовка корпоративной инфраструктуры

• Время на всех нодах кластера KSMG и контроллерах домена должно быть синхронизировано c использованием единого NTP-сервера;
• Все ноды DNS-сервера, указанные при установке должны быть доступны;
• На корпоративном DNS-сервере нужны прямая A-запись и обратная PTR-запись для KSMG;
• Для каждого домена и поддомена необходимо формировать отдельный keytab-файл, чтобы иметь возможность видеть необходимый каталог пользователей;
• При интеграции по LDAP отсутсвует возможность настройки порта подключения к контроллеру домена. Настройки подключения получают из корпоративного DNS-сервера по SRV-записи необходимого контроллера домена;
• Создание учётных записей для LDAP и SSO рекомендуется выполнять через графический интерфейс управления контроллером домена;

---

Дополнительные требования к keytab-файлу

• Для проверки подлинности прокси и SSO полное доменное имя, указанное в keytab-файле, всегда должно совпадать с реальным и используемым полным доменным именем. Для проверки подлинности прокси адрес, который используется в настройках прокси в браузере, ДОЛЖЕН совпадать с полным доменным именем в keytab-файле;
• Для единого входа адрес в адресной строке браузера, который используется для доступа к веб-интерфейсу KSMG, ДОЛЖЕН совпадать с полным доменным именем в keytab-файле и ДОЛЖЕН соответствовать реальному и используемому полному доменному имени KSMG и полному доменному имени, настроенному в операционной системе. Но для LDAP полное доменное имя в keytab-файле SPN должно иметь действительные записи в DNS, включая PTR-запись. Кроме того для keytab-файла LDAP вообще не обязательно иметь имя участника службы, но оно должно быть доступно для прокси-сервера и единого входа;
• Для проверки подлинности LDAP невозможно иметь несколько записей SPN в keytab-файле. Но в случае прокси-аутентификации и SSO-аутентификации вы можете создать несколько записей. Для LDAP это делать не нужно;
• У вас не может быть дубликатов имени участника службы. Это значит, что вы не можете создать два keytab-файла с дублирующимся SPN (включая полное доменное имя);
• Пользователь, учётная запись которого использовалась для создания keytab-файла, должен содержать в Distinguished Name только латинские символы, поэтому во всем пути к пользователю в AD не должно быть ни кириллицы, ни других символов;

---

Настройка LDAP

ВАЖНО! Перед выполнением инструкции убедитесь, что имя хоста задано верно и корректно отображается как в web-интерфейсе, так и при доступе через SSH.

1. Создайте пользователя в AD.
   • Активная опция – Password never expires
   • Активная опция – This account supports Kerveros AES 256bit encryption
   
2. Создайте keytab-файл.
   Создание keytab-файла
   

   C:\Windows\system32\ktpass.exe -princ HTTP/@ -mapuser control-user@ -crypto AES256-SHA1 -ptype KRB5_NT_PRINCIPAL -pass * +dumpsalt -out \.keytab

3. Загрузите keytab-файл на странице настроек ноды KSMG.
   Синхронизация происходит раз в 30 минут. Статус синхронизации можно посмотреть в разделе Nodes:Cинхронизация узлов кластера KSMG по LDAP происходит независимо, то есть для них можно использовать одну и ту же учётную запись и keytab-файл.
   Если синхронизация по каким-то причинам не происходит, KSMG будет использовать информацию из кэша (кэш удаляется только если удалить LDAP-соединение).

---

Настройка SSO

1. Создайте другого пользователя в AD.
   
   • Активная опция – Password never expires
   • Активная опция – This account supports Kerveros AES 256bit encryption
   
2. Создайте keytab-файл.
   
3. Загрузите keytab-файл на странице настроек ноды KSMG