Как Safari может выполнять аутентификацию SPNEGO с использованием билета Kerberos по умолчанию?

5086
Ryan Ash

У нас есть веб-сайт (вне сайта интрасети), который использует проходную аутентификацию и автоматически регистрирует людей. Это приложение работает без проблем при использовании компьютера с Windows. Все наши машины с Windows являются 64-разрядными Windows 7. У нас есть несколько компьютеров Mac OS, и мы хотели бы, чтобы компьютеры Mac автоматически регистрировали пользователей. Они используют AD, чтобы подписать людей, поэтому я думаю, что есть способ сделать эту работу.

Mac версии 10.7 и 10.8. Ни одна из них не работает. Он имеет поле для входа в систему, и если вы введете имя и пароль сети, это сработает и позволит вам войти. Мне интересно, есть ли способ сделать это автоматически. Сайт был создан с использованием Word Press. Любая помощь с благодарностью. Извините, если я пропустил важную информацию.

1

2 ответа на вопрос

2
Richard E. Silverman

Они используют AD, чтобы подписать людей, поэтому я думаю, что есть способ сделать эту работу.

Вы подразумеваете под этим, что пользователи входят в OS X, используя свое имя пользователя и пароль AD? Если это так, они могут уже иметь учетные данные Kerberos после входа в систему. Чтобы проверить это, используйте команду klist из командной строки терминала; вы должны увидеть что-то вроде:

$ klist Credentials cache: API:17DFC650-1327-4721-92ED-A0099CA09885 Principal: user@EXAMPLE.COM  Issued Expires Principal Mar 10 01:17:16 2014 Mar 10 09:17:16 2014 krbtgt/EXAMPLE.COM@EXAMPLE.COM

Если нет, используйте kinit user @ REALM из командной строки для аутентификации. НАСТОЯЩИМ будет доменное имя AD. Когда он был основан на MIT Kerberos, реализация Apple Kerberos автоматически открывала панель GUI, когда программе требовался Kerberos, а пользователь не проходил аутентификацию; к сожалению, когда они переключились на Heimdal, они пропустили эту замечательную функцию, и теперь вам нужно сделать это вручную.

Вам также может понадобиться другая конфигурация, чтобы заставить это работать в зависимости от среды, но это требуется в любом случае, и это, и все остальное может просто работать, если все настроено удобно (например, KDC обнаруживаются через DNS, Интернет Имя участника сервера определяется по его DNS-имени с правилами по умолчанию и т. д.). Если нет, я могу помочь вам понять, что еще нужно сделать.

0
Aardvark

It is possible. I'm able to login to intranet sites secured with Negotiate WIS using Safari on a Mac without a login prompt.

I had to join my computer to the domain by adding a "Network Account Server" in System Preferences > Users & Groups > Login Options.

When I login using my Active Directory account I'm able to open secured sites in Safari w/o a prompt.

Похожие вопросы