Configuración de la autenticación Kerberos en diferentes navegadores

por | Jun 21, 2021 | Tips

En este artículo, veremos cómo configurar la autenticación Kerberos para diferentes navegadores en un dominio de Windows para permitir una autenticación transparente y segura en servidores web sin la necesidad de volver a ingresar la contraseña de un usuario en una red corporativa. La mayoría de los navegadores modernos (IE, Chrome, Firefox) son compatibles con Kerberos, sin embargo, debe realizar algunos pasos adicionales para que funcione.

Para permitir que un navegador se autentique en un servidor web, deben cumplirse las siguientes condiciones:

  1. La compatibilidad con Kerberos debe estar habilitada en el lado del servidor web (un ejemplo de Configuración de la autenticación Kerberos para el sitio web de IIS);
  2. Un usuario debe tener acceso al servidor web;
  3. Un usuario debe estar autenticado en su computadora unida a Active Directory usando Kerberos (debe tener un TGT válido - Ticket de concesión de tickets de Kerberos).

Por ejemplo, desea permitir que los clientes Kerberos se autentiquen mediante un navegador en cualquier servidor web del dominio woshub.com (se debe utilizar el nombre DNS o FQDN en lugar de la dirección IP del servidor web).

Habilitación de la autenticación Kerberos en Internet Explorer

Consideremos cómo habilitar la autenticación Kerberos en Internet Explorer 11.

Recordamos que desde enero de 2016, la única versión de Internet Explorer oficialmente compatible es IE11.

Ir opciones de Internet -> Seguridad -> Intranet localy haga clic en Sitios -> Avanzado. Agregue las siguientes entradas a la zona:

  • https://*.woshub.com
  • http://*.woshub.com

Entonces ve al Avanzado pestaña y en la Seguridad sección, asegúrese de que Habilitar la autenticación de Windows integrada la opción está marcada.

Habilitar la autenticación de Windows integrada en Internet Explorer 11

Importante. Asegúrese de que los sitios web, para los que esté habilitada la autenticación Kerberos, estén presentes solo en la zona de la intranet local. Un token de Kerberos para los sitios web incluidos en la zona de sitios de confianza no se envía al servidor web correspondiente.

Cómo habilitar la autenticación Kerberos en Google Chrome

Para que el SSO funcione en Google Chrome, configure Internet Explorer usando el método descrito anteriormente (Chrome usa la configuración de IE). Además, debe tenerse en cuenta que todas las versiones nuevas de Chrome detectan automáticamente la compatibilidad con Kerberos en el sitio web. Si está utilizando una de las versiones anteriores de Chrome (Chromium), ejecútela con los siguientes parámetros para que la autenticación Kerberos en sus servidores web funcione correctamente:

--auth-server-whitelist="*.woshub.com"
--auth-negotiate-delegate-whitelist="*.woshub.com"

Por ejemplo:

"C:Program Files (x86)GoogleChromeApplicationchrome.exe” --auth-server-whitelist="*.woshub.com " --auth-negotiate-delegate-whitelist="*.woshub.com"

Puede configurar estos ajustes usando GPO para Chrome (política AuthServerWhitelist) o usando el parámetro de registro AuthNegotiateDelegateWhitelist ubicado en la clave de registro HKLM SOFTWARE Policies Google Chrome (Cómo implementar una clave de registro usando GPO).

Para que los cambios entren en vigencia, reinicie su navegador y restablezca los tickets de Ketberos usando klist purge comando (ver el artículo).

Configurar Firefox para autenticarse usando Kerberos

De forma predeterminada, la compatibilidad con Kerberos en Firefox está deshabilitada. Para habilitarlo, abra la ventana de configuración del navegador (vaya a acerca de: config en la barra de direcciones). Luego, en los siguientes parámetros, especifique las direcciones de los servidores web, para los cuales va a utilizar la autenticación Kerberos.

  1. network.negotiate-auth.trusted-uris
  2. network.automatic-ntlm-auth.trusted-uris

network.automatic-ntlm-auth.trusted-uris Kerberos en Firefox

Para su comodidad, puede deshabilitar el ingreso obligatorio de la dirección del servidor FQDN en la barra de direcciones de Mozilla Firefox habilitando network.negotiate-auth.allow-non-fqdn parámetro.

Puede asegurarse de que su navegador haya pasado la autenticación Kerberos en el servidor mediante Fiddler o klist tickets mando.

Recomendado para ti

Bestseller No. 1
Wscoficey 35 Teclas de Teclado una Mano, Teclado de Juego retroiluminado RGB, Mini portátil Juego Controlador con reposamuñecas, diseño ergonómico Compatible con PC/Mac / PS4 / Xbox (Negro)
Wscoficey 35 Teclas de Teclado una Mano, Teclado de Juego retroiluminado RGB, Mini portátil Juego Controlador con reposamuñecas, diseño ergonómico Compatible con PC/Mac / PS4 / Xbox (Negro)
  • Este teclado profesional de 35 teclas con una sola mano con control avanzado programable te hace sentir más cómodo y crea tu propio teclado especial
  • Mini portátil de 35 teclas, diseño mini que ofrece una experiencia de funcionamiento con una sola mano extremadamente simple
  • Adecuado para tus manos y muñeca, simplifica el complejo procedimiento operativo, vence al rival más rápido en los juegos
  • Teclado compatible con MAC, Win 2000, Win XP, Win ME, Vista, Win7, Win8, Android, Linux y más
  • Brillante: retroiluminación LED, más fresco por la noche
29,99 EUR
Ver en Amazon
RebajasBestseller No. 2
Pack Gaming Wolf | PC Gaming (AMD Ryzen 5 5500 / 16GB / 500GB SSD M.2 + 1TB / RTX3060 / 27' Curvo + Kit Gaming / WIFI) Windows 11 Pro, Monitor Curvo 27', Teclado, Cascos, Ratón y Alfombrilla XXL
Pack Gaming Wolf | PC Gaming (AMD Ryzen 5 5500 / 16GB / 500GB SSD M.2 + 1TB / RTX3060 / 27" Curvo + Kit Gaming / WIFI) Windows 11 Pro, Monitor Curvo 27", Teclado, Cascos, Ratón y Alfombrilla XXL
  • Bajo la tapa de esta llamativa caja RGB está el procesador AMD Ryzen 5 5500 tiene una frecuencia de reloj de alto rendimiento de 3,6 GHz y en combinación con la NVIDIA RTX 3060 con 12 GB de VRAM, DLSS y trazado de rayos, ofrece una experiencia gráfica de ensueño que hará que tu corazón se acelere.
  • Gracias a los 16 GB de RAM a 3200 MHz y a la unidad SSD M.2 de 500GB, disfrutarás de los tiempos de carga más cortos y estarás siempre un paso por delante de tus rivales. Para una máxima comodidad, hemos preinstalado Windows 10 Pro en tu PCVIP y también hemos instalado una tarjeta WiFi. Sólo tienes que enchufar el PC, encenderlo y la diversión puede empezar de inmediato.
  • Vas a convertirte en el mejor jugador en un tiempo récord gracias a la mejor configuración de ordenador gaming. No hay límites con nuestro innovador PC Gaming. Mejora tu experiencia de juego con el impresionante rendimiento del hardware de los PC Gaming de Ibericavip
  • Rendimiento de primera clase gracias a la NVIDIA RTX 3060 con 12 GB de VRAM y ray tracing. Además, incluimos un monitor LED Full HD de 27 pulgadas, un teclado gaming RGB y un ratón gaming RGB con la mejor alfombrilla XXL
  • Pantalla: Monitor Gaming Curvo 27" 165 Hz Full HD G-Sync Free Sync Compatible
1.099,99 EUR
Ver en Amazon
RebajasBestseller No. 3
Temario y Supuestos prácticos (Bloque III) Técnicos Auxiliares de Informática de la Administración General del Estado: 2 (Cuerpo de Técnicos ... de la Administración General del Estado)
Temario y Supuestos prácticos (Bloque III) Técnicos Auxiliares de Informática de la Administración General del Estado: 2 (Cuerpo de Técnicos ... de la Administración General del Estado)
49,40 EUR
Ver en Amazon

Artículos relacionados: