Skip to main content

Настройка SSO через Kerberos

Цель

Настройка единого входа (SSO) в Printum через протокол Kerberos. Пользователь, однажды прошедший аутентификацию в домене, автоматически получает доступ к Printum без повторного ввода пароля.

Предусловия

  • Настроена интеграция с доменом (пользователи импортированы)
  • Доступ к контроллеру домена для создания сервисного пользователя и SPN
  • Printum доступен по FQDN или IP-адресу

Шаги настройки

Шаг 1. Подготовка на стороне контроллера домена

1.1. Создайте сервисного пользователя
Создайте специального пользователя в домене для аутентификации Printum. Этот пользователь не обязан быть пользователем системы Printum.

1.2. Создайте SPN
Создайте Service Principal Name (SPN) для сервисного пользователя:

setspn -A HTTP/<host or ip> <username>

Где <host or ip> — хостнейм или IP-адрес сервера Printum, <username> — имя сервисного пользователя.

1.3. Сгенерируйте keytab-файл

ktpass /out krb5.keytab /princ HTTP/<hostname or IP with port>@<domain.name> /mapuser <account name>@<domain.name> /ptype KRB5_NT_PRINCIPAL /crypto ALL /pass <account password> /kvno 0

Параметры:

  • <hostname or IP with port> — хостнейм или IP мониторинга с портом бэкенда (8001), например: 192.168.10.10:8001 или domainname:8001
  • <domain.name> — имя домена (проверить: echo %USERDOMAIN% в CMD на контроллере домена)
  • <account name> и <account password> — логин и пароль сервисного пользователя

Шаг 2. Настройка в Printum

  1. Перейдите в раздел «Авторизация через Домен».
  2. Добавьте новую запись или отредактируйте существующую.
  3. Заполните поля:
    • Тип — выберите Kerberos.
    • Keytab для Kerberos — загрузите сгенерированный файл krb5.keytab.
    • Формат имени пользователя — если логин в формате username, выберите «обрезать до первого символа @»; если в формате username@domain.suffix — «полностью».
    • Атрибут пользователя для сопоставления — для Kerberos использовать Имя пользователя (username).

Шаг 3. Настройка браузера на АРМ пользователя

Настройте браузер для работы с Kerberos согласно документации вашего браузера.

Если Printum доступен по IP-адресу (а не по доменному имени), разрешите обращение по IP. На Windows — добавьте запись в реестр:

reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters" /v TryIPSPN /t REG_DWORD /d 1 /f

Как проверить

Перейдите на страницу авторизации Printum и выберите «Авторизоваться при помощи доменной УЗ». Аутентификация должна произойти автоматически без запроса пароля.

Связанные страницы

Back to top