Skip to main content

Интеграция LDAP и аутентификация с помощью технологии единого входа

Настройка аутентификации с помощью доменных учетных записей позволяет пользователям не вводить данные учетной записи Kaspersky Secure Mail Gateway для подключения к веб-интерфейсу программы.

Данная статья описывает процесс настройки интеграции LDAP

Подготовка корпоративной инфраструктуры
  • Время на всех нодах кластера KSMG и контроллерах домена должно быть синхронизировано c использованием единого NTP-сервера;
  • Все ноды DNS-сервера, указанные при установке должны быть доступны;
  • На корпоративном DNS-сервере нужны прямая A-запись и обратная PTR-запись для KSMG;
  • Для каждого домена и поддомена необходимо формировать отдельный keytab-файл, чтобы иметь возможность видеть необходимый каталог пользователей;
  • При интеграции по LDAP отсутсвует возможность настройки порта подключения к контроллеру домена. Настройки подключения получают из корпоративного DNS-сервера по SRV-записи необходимого контроллера домена;
  • Создание учётных записей для LDAP и SSO рекомендуется выполнять через графический интерфейс управления контроллером домена;
Дополнительные требования к keytab-файлу
  • Для проверки подлинности прокси и SSO полное доменное имя, указанное в keytab-файле, всегда должно совпадать с реальным и используемым полным доменным именем. Для проверки подлинности прокси адрес, который используется в настройках прокси в браузере, ДОЛЖЕН совпадать с полным доменным именем в keytab-файле;
  • Для единого входа адрес в адресной строке браузера, который используется для доступа к веб-интерфейсу KSMG, ДОЛЖЕН совпадать с полным доменным именем в keytab-файле и ДОЛЖЕН соответствовать реальному и используемому полному доменному имени KSMG и полному доменному имени, настроенному в операционной системе. Но для LDAP полное доменное имя в keytab-файле SPN должно иметь действительные записи в DNS, включая PTR-запись. Кроме того для keytab-файла LDAP вообще не обязательно иметь имя участника службы, но оно должно быть доступно для прокси-сервера и единого входа;
  • Для проверки подлинности LDAP невозможно иметь несколько записей SPN в keytab-файле. Но в случае прокси-аутентификации и SSO-аутентификации вы можете создать несколько записей. Для LDAP это делать не нужно;
  • У вас не может быть дубликатов имени участника службы. Это значит, что вы не можете создать два keytab-файла с дублирующимся SPN (включая полное доменное имя);
  • Пользователь, учётная запись которого использовалась для создания keytab-файла, должен содержать в Distinguished Name только латинские символы, поэтому во всем пути к пользователю в AD не должно быть ни кириллицы, ни других символов;
Настройка LDAP

ВАЖНО! Перед выполнением инструкции убедитесь, что имя хоста задано верно и корректно отображается как в web-интерфейсе, так и при доступе через SSH.

Имя хоста, отображаемое в web-интерфейсе Имя хоста, отображаемое в консоле
  1. Создайте пользователя в AD.
    • Активная опция – Password never expires
    • Активная опция – This account supports Kerveros AES 256bit encryption
    Название картинки
  2. Создайте keytab-файл.
    Создание keytab-файла
    C:\Windows\system32\ktpass.exe -princ HTTP/<полное доменное имя (FQDN) Управляющего узла>@<realm имя домена Active Directory в верхнем регистре> -mapuser control-user@<realm имя домена Active Directory в верхнем регистре> -crypto AES256-SHA1 -ptype KRB5_NT_PRINCIPAL -pass * +dumpsalt -out <путь к файлу>\<имя файла>.keytab
  3. Загрузите keytab-файл на странице настроек ноды KSMG.
    Загрузка keytab-файлаЗагрузка keytab-файлаСинхронизация происходит раз в 30 минут. Статус синхронизации можно посмотреть в разделе Nodes:Статус синхронизацииCинхронизация узлов кластера KSMG по LDAP происходит независимо, то есть для них можно использовать одну и ту же учётную запись и keytab-файл.
    Если синхронизация по каким-то причинам не происходит, KSMG будет использовать информацию из кэша (кэш удаляется только если удалить LDAP-соединение).
Настройка SSO
  1. Создайте другого пользователя в AD.
    • Активная опция – Password never expires
    • Активная опция – This account supports Kerveros AES 256bit encryption
    Название картинкиНазвание картинки
  2. Создайте keytab-файл.
    Создание keytab-файла
    C:\Windows\system32\ktpass.exe -princ HTTP/<полное доменное имя (FQDN) Управляющего узла>@<realm имя домена Active Directory в верхнем регистре> -mapuser ksmg-sso@<realm имя домена Active Directory в верхнем регистре> -crypto AES256-SHA1 -ptype KRB5_NT_PRINCIPAL -pass <пароль пользователя ksmg-sso - пример cZ8ckcVPysXOOS7m> +dumpsalt -out <путь к файлу>\<имя файла>.keytab
  3. Загрузите keytab-файл на странице настроек ноды KSMG.
    Перейти в раздел Settings | Application access | Single Sign-On login
Настройка Kerberos-аутентификации для кластера (опционально)
  1. Создайте keytab-файл.
    Создание keytab-файла
    C:\Windows\system32\ktpass.exe -princ HTTP/control-01.test.local@TEST.LOCAL -mapuser control-user@TEST.LOCAL -crypto AES256-SHA1 -ptype KRB5_NT_PRINCIPAL -pass * +dumpsalt -out C:\keytabs\filename1.keytab
  2. Добавьте SPN второго узла в тот же keytab-файла.
    Добавление SPN второго узла в keytab-файл
    Для каждого узла кластера добавьте в keytab-файл запись SPN. Для этого выполните следующую команду:
    C:\Windows\system32\ktpass.exe -princ HTTP/<полное доменное имя (FQDN) узла>@<realm имя домена Active Directory в верхнем регистре> -mapuser secondary1-user@<realm имя домена Active Directory в верхнем регистре> -crypto AES256-SHA1 -ptype KRB5_NT_PRINCIPAL -pass * -in <путь и имя ранее созданного файла>.keytab -out <путь и новое имя>.keytab
Настройка клиентских рабочих станций для использования SSO
  1. Проверьте, что узлы KSMG доступны по своим доменным именам.
    • В cmd.exe выполните команду nslookup
    • Далее в интерфейсе команды проверьте доступность узла KSMG по своему доменному имени <Доменное имя сервера KSMG>@<Имя домена>
    Название картинки
  2. Добавьте узлы KSMG в список сайтов Local intranet. Вариант 2, локально через групповые политики.
    Win+r → gpedit.mscНазвание картинки
  3. Добавьте узлы KSMG в список сайтов Local Intranet.
    Изменение групповой политики → Конфигурация компьютера → Административные шаблоны → Компоненты Windows → Internet Explorer → Панель управления браузером → Вкладка «Безопасность» → Список назначений зоны веб-сайтов
    (Local Computer Policy → Computer Configuration → Administrative Templates → Windows Components → Internet Explorer → Internet Control Panel → Security Page)Название картинкиНазвание картинкиНазвание картинки
  4. Примените произведённые изменения в групповых политиках.
    • Запустите cmd.exe с правами администратора
    • В cmd.exe выполните команду gpupdate /force
    Название картинки
  5. Назначьте роль Viewer или Superuser доменному пользователю, указав его учётную запись.Название картинки
  6. Авторизуйтесь на рабочей станции, использую указанную в предыдущем пункте учётную запись и перейдите в web-интерфейс KSMG, введя в строке браузера его доменное имя.
    https://ksmg.sales.lab/
    Вход будет осуществлён без использования логина и пароля
Back to top