Аутентификация Kerberos/SSO в браузере Яндекс

Введение

Технология единого входа (Single Sign-On, SSO) — это механизм аутентификации, при котором пользователю достаточно один раз ввести свои учётные данные для получения доступа к нескольким программным продуктам. Доступ осуществляется с использованием одного набора учётных данных, без необходимости повторной авторизации при переходе между продуктами.

Перед использованием SSO необходимо выполнить следующие подготовительные шаги:

• добавить устройство в домен;

• убедиться, что доменный пользователь успешно получает Kerberos-билет, подтверждающий корректность аутентификации в доменной среде.

Порядок действий

1. Откройте «Терминал».

2. Создайте каталог /etc/opt/yandex/browser/policies/managed/ с помощью следующей команды:

   $ sudo mkdir -p /etc/opt/yandex/browser/policies/managed/
   

3. В этом каталоге создайте файл с именем, например, policy.json (имя до точки может быть любым) следующего вида:

   {
   "AuthServerAllowlist": "*.test.example.ru",
   "AuthNegotiateDelegateAllowlist": "*.test.example.ru"
   }
   

   где *.test.example.ru — имя вашей kerberos-области (realm).

   Чтобы включить возможность единого входа для нескольких доменов, перечислите их через запятую, например:

   {
   "AuthServerAllowlist": "*.test1.example.ru,test2.example.ru,test3.example.ru",
   "AuthNegotiateDelegateAllowlist": "*.test1.example.ru,test2.example.ru,test3.example.ru"
   }
   

4. Сохраните файл.

5. Теперь вы можете посмотреть созданные политики в браузере Яндекс по адресу browser://policy/.