Настройка

Настройка сервисной учетной записи

Внимание! Данная настройка должна быть выполнена поэтапно и полностью. При незавершенной конфигурации не гарантируется корректная работа системы.
В данной инструкции все примеры сделаны для Management Console. Для User Console действия будут аналогичными.

1. Создайте пользователя, который будет использоваться в качестве сервисной УЗ для серверов Indeed AM и MC. Эта УЗ будет использована в качестве удостоверения для пулов сервера.
В примере создана следующая УЗ: ServiceAdmin

2. Настройте servicePrincipalName для созданной учетной записи. Для этого выполните следующие команды (Для выполнения команд консоль должна быть запущена от имени Администратора):

• setspn /s HTTP/indeedam indeed\ServiceAdmin
• setspn /s HTTP/indeedam.indeed.local indeed\ServiceAdmin
• setspn /s HTTP/indeedmc indeed\ServiceAdmin
• setspn /s HTTP/indeedmc.indeed.local indeed\ServiceAdmin

HTTP/indeedam - Указывается имя сервера Indeed AM.
HTTP/indeedam.indeed.local - Указывается полное имя сервера Indeed AM.
HTTP/indeedmc - Указывается имя сервера Indeed AM Management Console.
HTTP/indeedmc.indeed.local - Указывается полное имя сервера Indeed AM Management Console.
INDEED\ServiceAdmin - Указывается имя сервисной учетной записи в формате DOMAIN\USERNAME.

3. Находим учетную запись в ADUC.

4. Переходим на вкладку "Delegation".

5. Включаем ограниченное делегирование для учетной записи, нажимаем "Add..." и, в открывшемся окне, "Users or Computers...":

6. Добавляем созданную ранее сервисную УЗ:

7. Нажимаем "Select All" и "OK":

8. Нажимаем "Apply" и "OK":

Настройки IIS на серверах Indeed AM и MC

1. Откройте "IIS Manager" и выберете пулы приложений. 

2. Для пулов IndeedAM.Core и IndeedAM.MC выберете "Advanced Settings...".

3. Найдите "Identity" и нажмите "...".

4. Выберите "Custom Account:", нажмите "Set..." и введите данные сервисной УЗ:

5. Во всех окнах нажмите "OK".

6. Выберите приложение core или mc и перейдите в "Configuration Editor".

7. Откройте конфигурацию system.webServer/security/authentication/windowsAuthentication и измените параметр "useAppPoolCredentials" в "true". Нажмите "Apply".

8. Проверьте провайдеры для Windows аутентификиации и их порядок. Для этого откройте приложение core и mc, в пункте "IIS" выберите "Authentication". Выберите "Windows authentication" и нажмите "Providers...".

9. В окне "Providers" провайдеры должны располагаться как на скриншоте. Если один или оба провайдера отсутствуют или располагаются в другом порядке, то необходимо изменить/добавить, выбрав в пункте "Available Providers".

10. Проделайте эти действия для всех необходимых приложений и пулов.

11. После выполнения всех действий перезагрузите IIS и выполните команду klist purge на каждом сервере. Команда klist purge выполняет сброс билетов Kerberos на компьютере.

Настройка браузеров

Для корректной работы прозрачного входа, необходимо настроить браузеры соответствующим образом.

Internet Explorer

Действия для данного браузера выполняются всегда.

1. Открываем IE -> Нажимаем шестеренку справа вверху -> "Internet options"

1.1 Если IE не удается открыть, можно перейти в Панель управления -> "Internet Options"

2. Добавить Url адреса серверов Indeed AM и MC в местную интрасеть:

3. Возможно, потребуется включить опцию "Разрешить встроенную проверку подлинности Windows"/"Enable Integrated Windows Authentication". После применения данной настройки необходимо перезагрузить ПК.

4. Возможно, потребуется включить опцию "Автоматический вход в сеть с текущим именем пользователя и паролем":

Chrome

Необходимо установить и настроить шаблоны правил Chrome. Для установки шаблонов необходимо скачать архив с политиками. После распаковки архива необходимо скопировать из каталога "Configuration\admx" файл chrome.admx и, как минимум, каталоги en-US и ru-RU в каталог "C:\Windows\PolicyDefinitions". Далее открыть «Редактор локальной групповой политики» (gpedit.msc) и включить настройку «Конфигурация компьютера -> Административные шаблоны -> Google Chrome -> HTTP-аутентификация -> Список разрешенных серверов для делегирования прав по протоколу Kerberos и в параметрах прописать домен, например "*.indeed.local". Файл реестра с настройкой для данного примера приложен (Chrome Kerberos.reg).

Firefox

Необходимо скачать политики. После распаковки архива необходимо скопировать из каталога «windows» файлы admx и, как минимум, каталоги en-US и ru-RU в каталог «C:\Windows\PolicyDefinitions». Далее открыть «Редактор локальной групповой политики» (gpedit.msc) и включить настройку «Конфигурация компьютера -> Административные шаблоны -> Firefox -> Aутентификация -> Делегированная авторизация» и в параметрах прописать домен (полностью), например «emc.domain.local».

Далее открыть браузер, в адресной строке набрать «about:config» и задать в параметрах

network.negotiate-auth.trusted-uris

network.automatic-ntlm-auth.trusted-uris

домен (полностью), например «emc.domain.local»

Microsoft Edge

В реестре "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Edge" добавить строковой параметр "AuthNegotiateDelegateAllowlist" и в значении указать домен, например "*.indeed.local"

Отладка

Если все действия были проделаны, но при входе в MC возникает 401 ошибка, то попробуйте следующие действия:

1. Выполните команду klist purge;
2. Перезагрузите машину;
3. Очистите кеш и cookie-файлы браузера;
4. Закройте все вкладки браузера и перезапустите его;
5. На странице с 401 ошибкой, перезагрузите страницу.
6. Соберите трафик WireShark с пакетами Kerberos и отправьте нам.