Windows - SSO do Kerberos de fora do domínio

2

Eu tentei descobrir sozinho, mas sem sucesso. O Google oferece muitos tutoriais, mas não consegui encontrar nenhum para o caso abaixo.

Temos um funcionário colaborador externo com acesso VPN à nossa LAN e ele precisa acessar alguns de nossos aplicativos da web. Sua estação de trabalho opera no Windows 7 Professional. Os aplicativos da Web só podem aceitar a autenticação SSO baseada em Kerberos - a senha auth é desativada devido à política de segurança e não pode ser alterada. O Kerberos AS / KDC é fornecido pelo domínio de nível Windows Server 2008 R2 , do qual sua estação de trabalho não é membro.

Como podemos configurar a autenticação Kerberos de sua estação de trabalho sem adicioná-la ao domínio ? Até agora eu só usava para configurar sistemas baseados em UNIX com o Kerberos. No Windows, posso pensar em duas soluções diferentes:

  1. Instale bibliotecas Kerberos externas (ou seja, MIT Kerberos para Windows) - Eu assumo que o processo de configuração é semelhante ao baseado em UNIX (ou seja, editando krb5.conf , defina a região padrão e habilite a localização de KDC baseada em DNS).

  2. Configure o cliente Kerberos interno do Windows sem adicionar a estação de trabalho ao domínio - não tenho certeza se é possível.

Precisamos fazer o SSO funcionando no Mozilla Firefox. Desde que usemos a primeira solução, suponho que devemos definir network.negotiate-auth.gsslib para o caminho da DLL do Kerberos externo. Esta configuração pode funcionar como esperado? Das opções acima, o último é strongmente preferido, pois gostaríamos de evitar dependências externas e possíveis incompatibilidades.

    
por sam_pan_mariusz 08.01.2016 / 11:33

0 respostas