Настройка Kerberos-аутентификации

Вы можете создать один keytab-файл и добавить в него SPN всех серверов с установленной программой. Это позволит пользователям проходить аутентификацию с использованием своих доменных учетных записей на всех узлах кластера.

Чтобы настроить Kerberos-аутентификацию на прокси-сервере, выполните следующие действия:

1. В веб-интерфейсе программы выберите раздел Параметры → Встроенный прокси-сервер → Аутентификация.
2. В поле Kerberos перейдите по ссылке Настроить.

   Откроется окно Параметры Kerberos-аутентификации.

3. Переведите переключатель в положение Включено.
4. Нажмите на кнопку Загрузить, чтобы загрузить keytab-файл.

   Если keytab-файл был загружен ранее, для его замены вам необходимо нажать на кнопку Заменить.

   Откроется окно выбора файла.

5. Выберите файл и нажмите на кнопку Open.

   Keytab-файл будет загружен.

6. Если вы хотите проверять запросы аутентификации на наличие дубликатов, включите переключатель Использовать replay cache.

   Replay cache обеспечивает более надежную защиту, но может снижать производительность программы.

   Кеш, используемый в технологии Kerberos для хранения записей о запросах пользователей на аутентификацию. Этот механизм помогает защитить инфраструктуру от атак повторного воспроизведения. Во время таких атак злоумышленники записывают трафик пользователя, чтобы воспроизвести ранее отправленные им сообщения и успешно пройти аутентификацию на прокси-сервере. При использовании replay cache сервер аутентификации обнаруживает дубликат запроса и отправляет в ответ сообщение об ошибке.

7. Нажмите на кнопку Сохранить.

   Если вы изменили положение переключателя Включено или Использовать replay cache, то при сохранении изменений прокси-сервер будет перезагружен. До завершения перезагрузки обработка трафика будет приостановлена.

Kerberos-аутентификация будет настроена. Прокси-сервер будет обрабатывать запросы только от тех пользователей, которые пройдут процедуру аутентификации.