Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen der Seite angezeigt.

Link zu der Vergleichsansicht

Beide Seiten, vorherige Überarbeitung Vorherige Überarbeitung
Nächste Überarbeitung		 Vorherige Überarbeitung
Nächste ÜberarbeitungBeide Seiten, nächste Überarbeitung
prebuilt_systems:ucs:ad_kerberosanbindung_ubuntuclients_inkl._loginvertrauen [2019/11/03 17:12] boospyprebuilt_systems:ucs:ad_kerberosanbindung_ubuntuclients_inkl._loginvertrauen [2019/11/03 17:22] – [Chrome] boospy
Zeile 181: Zeile 181:
  
 ===== SAML in Firefox und Chrome ===== ===== SAML in Firefox und Chrome =====
-In der erweiterten Firefox Konfiguration, diese ist erreichbar über die Eingabe von about:config in der Firefox Adresszeile, muss bei der Option network.negotiate-auth.trusted-uris die Adresse des Identity Providers eingetragen werden, also in der Standardeinstellung ucs-sso.domainname.+In der erweiterten Firefox Konfiguration, diese ist erreichbar über die Eingabe von **about:config** in der Firefox Adresszeile, muss bei der Option **network.negotiate-auth.trusted-uris** und **network.negotiate-auth.delegation-uris** die Adresse des Identity Providers eingetragen werden, also in der Standardeinstellung **ucs-sso.domainname**.
  
-https://www.anleitungen.rrze.fau.de/betriebssysteme/linux/kerberos-und-websso/+In Chrome und Chromium lässt sich das viel einfacher per Files managen.
  
-https://docs.software-univention.de/handbuch-4.4.html#domain:saml+==== Chromium: ==== 
 +Folgende Datei ist zu erstellen: 
 +<code> 
 +nano /etc/chromium-browser/default 
 +</code> 
 +Mit diesem Inhalt: 
 +<code> 
 +# Default settings for chromium-browser. This file is sourced by /bin/sh from 
 +# /usr/bin/chromium-browser 
 + 
 +# Options to pass to chromium-browser 
 +CHROMIUM_FLAGS="--auth-server-whitelist=ucs-sso.mydomainname --auth-negotiate-delegate-whitelist=ucs-sso.mydomainname" 
 +</code> 
 + 
 +==== Chrome ==== 
 +<code> 
 +mkdir -m 755 -p /etc/opt/chrome/policies/managed 
 +</code> 
 +<code> 
 +nano /etc/opt/chrome/policies/managed/kerberos.json  
 +</code> 
 +<code> 
 +{  
 +     "AuthServerWhitelist": "*.sso.uni-erlangen.de,*.sso.fau.de",  
 +     "AuthNegotiateDelegateWhitelist": "*.sso.uni-erlangen.de,*.sso.fau.de"  
 +
 +</code> 
 +Oder nur eine Domäne: 
 +<code> 
 +
 +     "AuthServerWhitelist": "ucs-sso.mydomainname", 
 +     "AuthNegotiateDelegateWhitelist": "ucs-sso.mydomainname" 
 +
 +</code> 
 +<code> 
 +chmod o+rx /etc/opt/chrome/policies/managed/kerberos.json 
 +</code> 
 + 
 +Sofern die UCR-Variable für Kerberos laut Doku gesetzt wurde ist der Login ohne Passwort mit Kerberosticket ab sofort aktiv. Die Timeouts des Webinterface sollte man wohl von 5 Minuten auf z.B. 12 Stunden mit "ucr set" stellen. ;) 
 + 
 +Quellen: 
 +  * https://www.anleitungen.rrze.fau.de/betriebssysteme/linux/kerberos-und-websso/ 
 +  * https://docs.software-univention.de/handbuch-4.4.html#domain:saml