В случае развёрнутой инфраструктуры Active Directory (AD) и включения в домен AD сервера JMS и клиентских компьютеров возможно настроить автоматическую аутентификацию доменных пользователей (по протоколу Kerberos) в JMS при использовании:

  • web-приложения Консоль управления JMS;
  • web-клиента JMS;
  • приложения JWA tray.

Ниже изложена последовательность настроек для реализации прозрачной аутентификации.

Подготовительные действия для настройки прозрачной аутентификации

Для подготовки к настройке прозрачной аутентификации пользователей JMS на клиентских компьютерах выполните следующие действия.

  1. Выполните генерацию файла keytab согласно разделу «Приложение 6. Порядок генерации файла keytab для прозрачной аутентификации в JMS пользователей из домена AD, FreeIPA или ALD Pro по протоколу Kerberos».
  2. Полученный файл keytab (например keytab) скопируйте на сервер JMS (например в папку /opt/conf).
  3. При конфигурировании файла hosts для IP-адреса контроллера домена укажите его DNS-имя:
<IP>    DC.domain.name

Например:

Рис. 57 – Определение доменного имени сервера JMS в hosts

      4. При инициализации сервера JMS (см. раздел «Установка и первоначальная настройка сервера и консольного агента JMS», с. 18) в его ini-файле следует выполнить следующие настройки:

  • адрес сервера ресурсной системы (т.е. контроллера домена AD см. параметр serverAddress в секции [accountSystem]) следует указать в формате полного DNS-имени (FQDN);
  • указать расположение файла keytab в параметре keytabpath секции [accountSystem], например:
keytabpath=/opt/conf/jms-server.keytab

 Примечания:

  1. Подробное описание параметра keytabpath см. в разделе «Приложение 1. Параметры файла первоначальной конфигурации сервера JMS», «Секция [accountSystem]», с.114.
  2. В случае если настройка прозрачной аутентификации осуществляется после инициализации сервера JMS, keytab следует зарегистрировать так, как это описано в разделе «Регистрация файла keytab в JMS».

Регистрация файла keytab в JMS

Действия, описываемые в данном подразделе следует выполнять в случае, если файл keytab не был зарегистрирован в JMS при инициализации сервера JMS (как это описано в разделе «Подготовительные действия для настройки прозрачной аутентификации», выше).

  1. Выполните генерацию файла keytab согласно разделу «Приложение 6. Порядок генерации файла keytab для прозрачной аутентификации в JMS пользователей из домена AD, FreeIPA или ALD Pro по протоколу Kerberos».
  2. Полученный файл keytab (например keytab) скопируйте на сервер JMS (например в папку /opt/conf).

Для регистрации полученного keytab-файла в JMS используйте команду kerberos register консольного агента JMS, вида:

sudo Aladdin.EAP.Agent.Terminal kerberos register --accountSystem <account_system_name> --keytabPath <path_to_keytab>

где <account_system_name>  – имя ресурсной системы (каталога учётных записей).

<path_to_keytab> – путь к Keytab-файлу, сгенерированного на этапе «Подготовительные действия для настройки прозрачной аутентификации», с. 68.

Например,

sudo Aladdin.EAP.Agent.Terminal kerberos register --accountSystem aladdin --keytabPath /opt/conf/jms-server.keytab

Примечание. Подробное описание команды kerberos register консольного агента JMS см. в разделе «Приложение 2. Справочник команд консольного агента Aladdin.EAP.Agent.Terminal», «Команда kerberos» с. 129.

Регистрацию keytab-файла можно произвести также через веб-консоль JMS. Для этого выполните следующие действия:

  1. Перейдите в веб-консоль JMS и откройте вкладку Каталоги учётных записей.
  2. Выберите каталог учётных записей, для которого требуется зарегистрировать keytab-файл, и нажмите кнопку Зарегистрировать Keytab-файл.
  3. Укажите keytab-файл, полученный на этапе «Подготовительные действия для настройки прозрачной аутентификации», с. 68..
  4. После успешной загрузки статус keytab-файла изменится с "Отсутствует" на "Зарегистрирован".

Рис. 58 – Работа с keytab в web-консоли JMS

Настройка прозрачной аутентификации в web-приложениях на клиентских компьютерах

  1. На клиентских машинах отредактируйте конфигурационный файл JWA /etc/aladdin/jwa-service/appsettings.json таким образом, чтобы в адресах интерфейсов IntegrationApiURL,  AuthApiURL и ClientApiURL адрес сервера JMS был представлен в формате FQDN, например:
"JMS": {
 
    "IntegrationApiURL": "http://jmssrv.jms4.local:8120",
 
    "AuthApiURL": "http://jmssrv.jms4.local:8121",
 
    "ClientApiURL": "http://jmssrv.jms4.local:8122"
 
  },

      2. Для прозрачной аутентификации в web-приложении Консоль сервера JMS на стороне сервера JMS Web Server в конфигурационном файле /etc/aladdin/eap-web-server-console/appsettings.json отредактируете значение "AuthenticationApiUrl" таким образом, чтобы адрес сервера JMS был представлен в формате FQDN, например:

"ServerConnectionSettings": {
 
  ...
 
  "AuthenticationApiUrl": "http://jmssrv.jms4.local:8121"

      3. Чтобы обеспечить корректную аутентификацию по протоколу Kerberos убедитесь, что на контроллере домена AD, сервере JMS и клиентских машинах системное время синхронизировано.

      4. Для прозрачной аутентификации в web-браузере (подключение в web-клиенте JMS и в web-приложении Консоль управления JMS) на клиентском компьютере необходимо выполнить настройки автоматического запроса билета Kerberos в соответствии с документацией производителя соответствующего браузера.

Аутентификация в соответствующем web-приложении (в web-клиенте JMS или в web-приложении Консоль управления JMS) будет происходить автоматически, если сессия ОС была открыта от имени соответствующего доменного пользователя JMS (имеющего права доступа в соответствующем приложении JMS – в web-клиенте JMS или в web-приложении Консоль управления JMS).

Настройка прозрачной аутентификации в приложении JWA Tray

Для автоматической аутентификации доменного пользователя в JMS при открытии сессии в JWA Tray необходимо выполнить следующие настройки:

  1. Настроить конфигурационный файл JWA так, как это было сделано на шаге 6.
  2. Создать профиль Настройка синхронизации рабочей станции (см. руководство по функциям управления JMS [2], раздел «Профиль настройки синхронизации рабочей станции»), в котором необходимо установить флаг Открывать сессию под текущей доменной учетной записью, и привязать данный профиль к каталогу Внедоменные рабочие станции.

Аутентификация пользователя в приложении JWA tray будет происходить автоматически, если вход в ОС был осуществлен доменным пользователем, имеющим права доступа к JMS.

Автоматическая регистрация JWA tray в JMS по протоколу Kerberos отображается специальным диалоговым окном:

Рис. 59 – Оповещение об автоматическом открытии сессии через Kerberos

Примечание. Для того чтобы проверить наличие билета Kerberos на клиентской машине можно воспользоваться командой klist.