Konfigurieren des Edge Gateway, um die Kerberos-Authentifizierung zu aktivieren¶
Es wird empfohlen, AD-Domänenadministratorkonten in die Gruppe Protected Users zu platzieren. Sobald diese Konten in Protected Users platziert sind, sind NTML-Verbindungen nicht mehr möglich und das Kerberos-Protokoll wird verwendet.
Damit diese Änderung in cyberelements.io oder cyberelements Cleanroom berücksichtigt werden kann, muss das Paket krb5-config auf den Edge Gateway-Servern so konfiguriert sein, dass Kerberos verwendet werden kann.
Anmerkung
Damit dieser Teil funktioniert, muss ein Kerberos-Flow zwischen den Edge Gateway-Servern und dem AD-Domänencontroller-Server (dieser Server fungiert als KDC, Kerberos-Domänencontroller) geöffnet sein.
Als Erinnerung ist dies ein Standardfluss UDP 88. Die folgende Konfiguration holt Kerberos-Informationen über DNS ab, so dass der UDP 53-Fluss ebenfalls notwendig ist.
Verwenden Sie die folgende Befehlszeile:
1 | |
Geben Sie den Namen Ihrer Domain (FQDN) in Großbuchstaben ein.
Beispiel
Domain: Domain.local
Bereich: DOMAIN.LOCAL
Dann antworten Sie mit <NO>, damit Sie keine manuellen Konfigurationen durchführen müssen. In diesem Fall werden alle Kerberos-bezogenen Informationen über DNS abgerufen.
Info
Für alle erweiterten und manuellen Einstellungen müssen Sie die Datei /etc/krb5.conf ändern (nach der Änderung ist kein Neustart des Dienstes erforderlich).
Die Konfigurationsinformationen können über Mann 5 Krb5.conf.
In diesem Stadium und wenn keine starke Kerberos-Authentifizierung erforderlich ist, sollte die Verbindung zu privilegierten RDP-Anwendungen im agentenlosen Modus (HTML5 oder nicht) mit Benutzerkonten von Protected Users funktionieren. Die Konfiguration der RDP-Anwendung muss bestimmte Voraussetzungen erfüllen.