Настройка аутентификации по протоколу GSSAPI

Протокол безопасной аутентификации GSSAPI позволяет упростить использование и настройку механизма аутентификации Kerberos за счёт стандартизированного API.

Настройка PostgreSQL для работы с GSSAPI

Для аутентификации СУБД PostgreSQL по протоколу GSSAPI:

host all all 0.0.0.0/0 gss include_realm=1,map=dev,krb_realm=<ваш домен>

Примечание. Строку требуется добавить после строки «# IPv4 local connections:». Если планируется использовать методы md5, например, для сервисных пользователей, то их требуется добавлять перед методом gss.

Для подробного описания настройки GSSAPI для СУБД PostgreSQL обратитесь к документации на PostgreSQL.

Для проверки работы gss с PosgreSQL:

Добавьте доменного пользователя с помощью команд:

psql -a --host=<имя сервера СУБД> --port=5432 --dbname=postgres --username=postgres -c "CREATE ROLE \"<имя роли СУБД>\" LOGIN ENCRYPTED PASSWORD '<пароль роли СУБД>' NOSUPERUSER INHERIT CREATEDB CREATEROLE NOREPLICATION;" 2>&1

psql -a --host=<имя сервера СУБД> --port=5432 --dbname=postgres --username=postgres -c "ALTER ROLE \"<имя роли СУБД>\" SET lo_compat_privileges='on';" 2>&1

Для работы по методу gss имя создаваемой роли СУБД должно совпадать с именем пользователя в домене.

Для интегрированной аутентификации по протоколу Kerberos пароль создаваемой роли СУБД должен совпадать с паролем пользователя в домене.

Выполните подключение с помощью команды:

psql -h host.domain.ru –d postgres -U user.name

В случае корректной работы gss в терминале выведется сообщение:

Рекомендуется также проверить работу gss на клиентских компьютерах, на которых будет открываться браузер.

В результате для СУБД PostgreSQL будет настроена аутентификация по протоколу GSSAPI.

Настройка браузеров для работы с GSSAPI

Mozilla Firefox Google Chrome

Для настройки работы браузера Mozilla Firefox с механизмом GSSAPI.

Запустите Mozilla Firefox.
Введите «about:config» в адресной строке.
Введите «network.n» в поле «Фильтр» на открывшейся странице. Отобразится список параметров, в наименовании которых встречается введённая строка.
Дважды нажмите на параметр network.negotiate-auth.trusted-uris и введите через запятую список URL-адресов доверенных доменов. В параметре перечислены сайты, которые могут участвовать в идентификации GSSAPI при работе с данным браузером.
Нажмите кнопку «OK».
Если тестируемое приложение использует дополнительную функцию Kerberos под названием «Делегирование учётных данных», то дважды нажмите на параметр network.negotiate-auth.delegation-uris и введите через запятую список URL-адресов доверенных доменов. В параметре перечислены сайты, которым браузер может делегировать идентификацию пользователей:

В результате в браузере Mozilla Firefox будет настроена аутентификация по протоколу GSSAPI.

Для настройки работы браузера Google Chrome с механизмом GSSAPI:

Создайте в ветке системного реестра [HKEY_CURRENT_USER\SOFTWARE\Policies\Google\Chrome] строковые параметры AuthNegotiateDelegateAllowlist и AuthServerAllowlist.
Укажите в созданных параметрах сервер приложения.

В результате в браузере Google Chrome будет настроена аутентификация по протоколу GSSAPI.