В случае развёрнутой инфраструктуры Active Directory (AD) и включения в домен AD сервера JMS и клиентских компьютеров возможно настроить автоматическую аутентификацию доменных пользователей (по протоколу Kerberos) в JMS при использовании:
- web-приложения Консоль управления JMS;
- web-клиента JMS;
- приложения JWA tray.
Ниже изложена последовательность настроек для реализации прозрачной аутентификации.
Подготовительные действия для настройки прозрачной аутентификации
Для подготовки к настройке прозрачной аутентификации пользователей JMS на клиентских компьютерах выполните следующие действия.
- Выполните генерацию файла keytab согласно разделу «Приложение 6. Порядок генерации файла keytab для прозрачной аутентификации в JMS пользователей из домена AD, FreeIPA или ALD Pro по протоколу Kerberos».
- Полученный файл keytab (например keytab) скопируйте на сервер JMS (например в папку /opt/conf).
- При конфигурировании файла hosts для IP-адреса контроллера домена укажите его DNS-имя:
<IP> DC.domain.nameНапример:
Рис. 57 – Определение доменного имени сервера JMS в hosts
4. При инициализации сервера JMS (см. раздел «Установка и первоначальная настройка сервера и консольного агента JMS», с. 18) в его ini-файле следует выполнить следующие настройки:
- адрес сервера ресурсной системы (т.е. контроллера домена AD см. параметр serverAddress в секции [accountSystem]) следует указать в формате полного DNS-имени (FQDN);
- указать расположение файла keytab в параметре keytabpath секции [accountSystem], например:
keytabpath=/opt/conf/jms-server.keytabПримечания:
- Подробное описание параметра keytabpath см. в разделе «Приложение 1. Параметры файла первоначальной конфигурации сервера JMS», «Секция [accountSystem]», с.114.
- В случае если настройка прозрачной аутентификации осуществляется после инициализации сервера JMS, keytab следует зарегистрировать так, как это описано в разделе «Регистрация файла keytab в JMS».
Регистрация файла keytab в JMS
Действия, описываемые в данном подразделе следует выполнять в случае, если файл keytab не был зарегистрирован в JMS при инициализации сервера JMS (как это описано в разделе «Подготовительные действия для настройки прозрачной аутентификации», выше).
- Выполните генерацию файла keytab согласно разделу «Приложение 6. Порядок генерации файла keytab для прозрачной аутентификации в JMS пользователей из домена AD, FreeIPA или ALD Pro по протоколу Kerberos».
- Полученный файл keytab (например keytab) скопируйте на сервер JMS (например в папку /opt/conf).
Для регистрации полученного keytab-файла в JMS используйте команду kerberos register консольного агента JMS, вида:
sudo Aladdin.EAP.Agent.Terminal kerberos register --accountSystem <account_system_name> --keytabPath <path_to_keytab>где <account_system_name> – имя ресурсной системы (каталога учётных записей).
<path_to_keytab> – путь к Keytab-файлу, сгенерированного на этапе «Подготовительные действия для настройки прозрачной аутентификации», с. 68.
Например,
sudo Aladdin.EAP.Agent.Terminal kerberos register --accountSystem aladdin --keytabPath /opt/conf/jms-server.keytabПримечание. Подробное описание команды kerberos register консольного агента JMS см. в разделе «Приложение 2. Справочник команд консольного агента Aladdin.EAP.Agent.Terminal», «Команда kerberos» с. 129.
Регистрацию keytab-файла можно произвести также через веб-консоль JMS. Для этого выполните следующие действия:
- Перейдите в веб-консоль JMS и откройте вкладку Каталоги учётных записей.
- Выберите каталог учётных записей, для которого требуется зарегистрировать keytab-файл, и нажмите кнопку Зарегистрировать Keytab-файл.
- Укажите keytab-файл, полученный на этапе «Подготовительные действия для настройки прозрачной аутентификации», с. 68..
- После успешной загрузки статус keytab-файла изменится с "Отсутствует" на "Зарегистрирован".
Рис. 58 – Работа с keytab в web-консоли JMS
Настройка прозрачной аутентификации в web-приложениях на клиентских компьютерах
- На клиентских машинах отредактируйте конфигурационный файл JWA /etc/aladdin/jwa-service/appsettings.json таким образом, чтобы в адресах интерфейсов IntegrationApiURL, AuthApiURL и ClientApiURL адрес сервера JMS был представлен в формате FQDN, например:
"JMS": { "IntegrationApiURL": "http://jmssrv.jms4.local:8120", "AuthApiURL": "http://jmssrv.jms4.local:8121", "ClientApiURL": "http://jmssrv.jms4.local:8122" },2. Для прозрачной аутентификации в web-приложении Консоль сервера JMS на стороне сервера JMS Web Server в конфигурационном файле /etc/aladdin/eap-web-server-console/appsettings.json отредактируете значение "AuthenticationApiUrl" таким образом, чтобы адрес сервера JMS был представлен в формате FQDN, например:
"ServerConnectionSettings": { ... "AuthenticationApiUrl": "http://jmssrv.jms4.local:8121"3. Чтобы обеспечить корректную аутентификацию по протоколу Kerberos убедитесь, что на контроллере домена AD, сервере JMS и клиентских машинах системное время синхронизировано.
4. Для прозрачной аутентификации в web-браузере (подключение в web-клиенте JMS и в web-приложении Консоль управления JMS) на клиентском компьютере необходимо выполнить настройки автоматического запроса билета Kerberos в соответствии с документацией производителя соответствующего браузера.
Аутентификация в соответствующем web-приложении (в web-клиенте JMS или в web-приложении Консоль управления JMS) будет происходить автоматически, если сессия ОС была открыта от имени соответствующего доменного пользователя JMS (имеющего права доступа в соответствующем приложении JMS – в web-клиенте JMS или в web-приложении Консоль управления JMS).
Настройка прозрачной аутентификации в приложении JWA Tray
Для автоматической аутентификации доменного пользователя в JMS при открытии сессии в JWA Tray необходимо выполнить следующие настройки:
- Настроить конфигурационный файл JWA так, как это было сделано на шаге 6.
- Создать профиль Настройка синхронизации рабочей станции (см. руководство по функциям управления JMS [2], раздел «Профиль настройки синхронизации рабочей станции»), в котором необходимо установить флаг Открывать сессию под текущей доменной учетной записью, и привязать данный профиль к каталогу Внедоменные рабочие станции.
Аутентификация пользователя в приложении JWA tray будет происходить автоматически, если вход в ОС был осуществлен доменным пользователем, имеющим права доступа к JMS.
Автоматическая регистрация JWA tray в JMS по протоколу Kerberos отображается специальным диалоговым окном:
Рис. 59 – Оповещение об автоматическом открытии сессии через Kerberos
Примечание. Для того чтобы проверить наличие билета Kerberos на клиентской машине можно воспользоваться командой klist.



