Configurare Edge Gateway per abilitare l'autenticazione Kerberos¶
Si consiglia di inserire gli account di amministratore di dominio AD nel gruppo Protected Users. Una volta che questi account sono inseriti in Protected Users, le connessioni NTML non sono più possibili e verrà utilizzato il protocollo Kerberos.
Per poter tenere conto di questa modifica in cyberelements.io o cyberelements Cleanroom, il pacchetto krb5-config deve essere configurato sui server Edge Gateway per consentire loro di utilizzare Kerberos.
Nota
Per far funzionare questa parte, deve essere aperto un flusso Kerberos tra i server Edge Gateway e il server AD del controller di dominio (questo server funge da KDC, Kerberos Domain Controller).
Per ricordare, questo è un flusso predefinito UDP 88. La seguente configurazione recupera le informazioni di Kerberos tramite DNS, quindi è necessario anche il flusso UDP 53.
Usa la seguente riga di comando:
1 | |
Inserisci il dominio Kerberos digitando il nome del tuo dominio (FQDN) in maiuscolo.
Esempio
dominio: dominio.local
realm: DOMAIN.LOCAL
Allora rispondi <NO> In questo caso, tutte le informazioni relative a Kerberos verranno recuperate tramite DNS.
Info
Per tutte le impostazioni avanzate e manuali, è necessario modificare il file /etc/krb5.conf (non è necessario riavviare il servizio dopo la modifica).
Le informazioni sulla configurazione possono essere ottenute tramite man 5 krb5.conf.
In questa fase, e se non è richiesta un'autenticazione forte Kerberos, la connessione alle applicazioni RDP privilegiate in modalità agentless (HTML5 o meno) dovrebbe funzionare con gli account utente appartenenti a Protected Users. La configurazione dell'applicazione RDP deve soddisfare determinati prerequisiti.