Configuración de la Edge Gateway para habilitar la autenticación de Kerberos¶
Se recomienda colocar las cuentas de administrador de dominio AD en el grupo Protected Users. Una vez que estas cuentas se colocan en Protected Users, las conexiones NTML ya no son posibles y se usará el protocolo Kerberos.
Para que este cambio se tenga en cuenta en cyberelements.io o cyberelements Cleanroom, el paquete krb5-config debe estar configurado en los servidores Edge Gateway para permitirles usar Kerberos.
Nota
Para que esta parte funcione, un flujo de Kerberos debe estar abierto entre el Edge Gateway los servidores y el servidor controlador de dominio AD (este servidor actúa como el KDC, controlador de dominio Kerberos).
Como recordatorio, este es un flujo predeterminado UDP 88. La siguiente configuración recupera información de Kerberos a través de DNS, por lo que el flujo UDP 53 también es necesario.
Utilice la siguiente línea de comandos:
1 | |
Ingrese al reino de Kerberos escribiendo el nombre de su dominio (FQDN) en mayúsculas.
Ejemplo
dominio: dominio.local
reino: DOMAIN.LOCAL (en inglés)
Entonces responda <NO> para que no tenga que realizar ninguna configuración manual. En este caso, toda la información relacionada con Kerberos se recuperará a través de DNS.
Info
Para todos los ajustes avanzados y manuales, deberá modificar el archivo /etc/krb5.conf (no se requiere reiniciar el servicio después de la modificación).
La información de configuración puede obtenerse a través de: hombre 5 krb5.conf.
En esta etapa, y si no se requiere una autenticación Kerberos fuerte, la conexión a aplicaciones RDP privilegiadas en modo sin agente (HTML5 o no) debería funcionar con cuentas de usuario pertenecientes a Protected Users. La configuración de la aplicación RDP debe cumplir ciertos requisitos previos.