En este artículo, veremos cómo configurar la autenticación Kerberos para diferentes navegadores en un dominio de Windows para permitir una autenticación transparente y segura en servidores web sin la necesidad de volver a ingresar la contraseña de un usuario en una red corporativa. La mayoría de los navegadores modernos (IE, Chrome, Firefox) son compatibles con Kerberos, sin embargo, debe realizar algunos pasos adicionales para que funcione.

Para permitir que un navegador se autentique en un servidor web, deben cumplirse las siguientes condiciones:

  1. La compatibilidad con Kerberos debe estar habilitada en el lado del servidor web (un ejemplo de Configuración de la autenticación Kerberos para el sitio web de IIS);
  2. Un usuario debe tener acceso al servidor web;
  3. Un usuario debe estar autenticado en su computadora unida a Active Directory usando Kerberos (debe tener un TGT válido - Ticket de concesión de tickets de Kerberos).

Por ejemplo, desea permitir que los clientes Kerberos se autentiquen mediante un navegador en cualquier servidor web del dominio woshub.com (se debe utilizar el nombre DNS o FQDN en lugar de la dirección IP del servidor web).

Habilitación de la autenticación Kerberos en Internet Explorer

Consideremos cómo habilitar la autenticación Kerberos en Internet Explorer 11.

Recordamos que desde enero de 2016, la única versión de Internet Explorer oficialmente compatible es IE11.

Ir opciones de Internet -> Seguridad -> Intranet localy haga clic en Sitios -> Avanzado. Agregue las siguientes entradas a la zona:

  • https://*.woshub.com
  • http://*.woshub.com

Entonces ve al Avanzado pestaña y en la Seguridad sección, asegúrese de que Habilitar la autenticación de Windows integrada la opción está marcada.

Habilitar la autenticación de Windows integrada en Internet Explorer 11

Importante. Asegúrese de que los sitios web, para los que esté habilitada la autenticación Kerberos, estén presentes solo en la zona de la intranet local. Un token de Kerberos para los sitios web incluidos en la zona de sitios de confianza no se envía al servidor web correspondiente.

Cómo habilitar la autenticación Kerberos en Google Chrome

Para que el SSO funcione en Google Chrome, configure Internet Explorer usando el método descrito anteriormente (Chrome usa la configuración de IE). Además, debe tenerse en cuenta que todas las versiones nuevas de Chrome detectan automáticamente la compatibilidad con Kerberos en el sitio web. Si está utilizando una de las versiones anteriores de Chrome (Chromium), ejecútela con los siguientes parámetros para que la autenticación Kerberos en sus servidores web funcione correctamente:

--auth-server-whitelist="*.woshub.com"
--auth-negotiate-delegate-whitelist="*.woshub.com"

Por ejemplo:

"C:Program Files (x86)GoogleChromeApplicationchrome.exe” --auth-server-whitelist="*.woshub.com " --auth-negotiate-delegate-whitelist="*.woshub.com"

Puede configurar estos ajustes usando GPO para Chrome (política AuthServerWhitelist) o usando el parámetro de registro AuthNegotiateDelegateWhitelist ubicado en la clave de registro HKLM SOFTWARE Policies Google Chrome (Cómo implementar una clave de registro usando GPO).

Para que los cambios entren en vigencia, reinicie su navegador y restablezca los tickets de Ketberos usando klist purge comando (ver el artículo).

Configurar Firefox para autenticarse usando Kerberos

De forma predeterminada, la compatibilidad con Kerberos en Firefox está deshabilitada. Para habilitarlo, abra la ventana de configuración del navegador (vaya a acerca de: config en la barra de direcciones). Luego, en los siguientes parámetros, especifique las direcciones de los servidores web, para los cuales va a utilizar la autenticación Kerberos.

  1. network.negotiate-auth.trusted-uris
  2. network.automatic-ntlm-auth.trusted-uris

network.automatic-ntlm-auth.trusted-uris Kerberos en Firefox

Para su comodidad, puede deshabilitar el ingreso obligatorio de la dirección del servidor FQDN en la barra de direcciones de Mozilla Firefox habilitando network.negotiate-auth.allow-non-fqdn parámetro.

Puede asegurarse de que su navegador haya pasado la autenticación Kerberos en el servidor mediante Fiddler o klist tickets mando.

Recomendado para ti

Bestseller No. 1
Hp Elite 8300 - Ordenador de sobremesa + Monitor 24'' (Intel Core i7-3770, 8GB de RAM, Disco de 240 SSD+ 500GB HDD, Lector DVD, WiFi,Windows 10 Pro 64) (Reacondicionado)
  • Procesador Intel Core i7-3770 - 3,40 GHz
  • Monitor 24" Reacondicionado con altavoces integrados, Estado excelente.
  • Almacenamiento de 240GB SSD+500GB HDD
  • Memoria RAM 8GB DDR3
  • Sistema Operativo: Windows 10 PRO
Bestseller No. 2
The Office
  • Amazon Prime Video (Video on Demand)
  • Steve Carell, Rainn Wilson, John Krasinski (Actors)
  • Bryan Gordon (Director)
Bestseller No. 3
El catcher espía
  • Amazon Prime Video (Video on Demand)
  • Paul Rudd, Jeff Daniels, Sienna Miller (Actors)
  • Ben Lewin (Director)