Для авторизации пользователей доменных компьютеров удобно использовать автоматическую авторизацию Kerberos. Для пользователей, чьи компьютеры не входят в домен, авторизация Kerberos работать не будет. Удобным вариантом в этом случае будет использование двух методов авторизации - в качестве первого метода авторизации Kerberos, а в качестве второго - Captive portal. На компьютерах с ОС Windows такой вариант работает хорошо, пользователям, не сумевшим пройти авторизацию Kerberos, будет предложено ввести авторизационные данные на странице Captive-портала. Для пользователей Linux с установленным браузером Chrome необходима дополнительная настройка.
Проблема:
В браузере Chrome (и его вариациях) не отображается портал авторизации. Пользователь только видит пустое окно со следующим содержимым:
Заголовок:
HTTP/1.1 407 Authorization Required
Содержимое страницы
<html> <!-- please auth via kerberos/NTLM --> </html>
Решение:
Для подробной информации по работе с политиками в браузере, обратитесь к документации по адресу: https://www.chromium.org/administrators/linux-quick-start
1. В соответствии с инструкцией, нужно создать json-файл в директории managed:
touch /etc/opt/chrome/policies/managed/test_policy.json
Содержимое файла должно быть следующего вида:
{
"AuthServerWhitelist": "*.usergate.demo",
"AuthSchemes": "ntlm,negotiate"
}
"usergate.demo" необходимо заменить на доменное имя вашего домена.
2. В браузере Chrome открыть страницу политик about:policy.
Вы должны увидеть настройки прописанные в файле на открытой странице:
Если этих строк нет, значит браузеру не удалось загрузить политики из созданного файла. Проверьте права доступа, и другие возможные причины. Обратите внимание, различные браузеры имеют особенности в загрузке политик. Например браузер Chromium на Kali Linux автоматически не загружает описанные политики.
После проведенных манипуляций, браузер не способный произвести прозрачную Kerberos аутентификацию, будет перенаправлять пользователя на портал авторизации.