Firefox és a Kerberos

Egy webes management alkalmazás képes Kerberos-szal azonosítani, nosza, csináljuk meg, hogy a Firefox is ezt használja... A csavar a dologban annyi, hogy mindezt Windows-on kéne...
Kellékek: MIT Kerberos, kfw-3-2-2.msi (Ez volt kéznél) és némi kutakodás a neten :)

A kfw telepítése után az Identity manager-ben a Kerberos realm-eket kipucoljuk, és berakjuk a saját realm-et és a hozzájuk tartozó szerver(eke)t - ezt sok képes leírás magyarázza, nem részletezném.

Ami érdekesebb, az a böngészőt rávenni a dologra... Az about:config után bólogatunk, hogy igen, tudom, veszélyes terület, de vigyázni fogok :-D


network.negotiate-auth.trusted-uris    .managementszerver.domainje
network.negotiate-auth.delegation-uris .managementszerver.domainje

Ezt idáig minden leírás emlegeti, de Windows-on kellneki még két dolog (A kfw-t az alapértelmezett könyvtárba telepítve, ha máshol van, akkor az útvonal értelem szerint módosul). Az use-sspi=false azért köll, mert alapértelmezés szerint azt használja a böngésző, a gssapi használatára így lehet rávenni:


network.negotiate-auth.gsslib           C:\Program Files\MIT\Kerberos\bin\gssapi32.dll
network.auth.use-sspi                   false

Ez után böngésző újraindít, url beír, kerberos-os "New credentials" ablak felugrik, adatok beír, böngésző beenged, user örül.

Hozzászólások

én NTLM-es SSO buliban vagyok épp, majd beszámolok ha sikerült/nem sikerült :)
---------------------------------------------------
Hell is empty and all the devils are here.
-- Wm. Shakespeare, "The Tempest"