авторизация через kerberos на web портале

Во freeipa существует возможность производить авторизацию в веб портал freeipa без ввода логина/пароля, с помощью kerberos. В разных браузерах это делается по разному и впринципе способ находится на виду - в админ панели прямо справа есть ссылка на локальный гад, где рассказывается как и для какого браузера что надо делать: image alt text image alt text Самый простой способ - это firefox - его рассказывать не будем, с ним всё совсем просто: image alt text image alt text Для Браузера Chrome тоже описан способ, он подразумевает создание файла конфигурации и для политик: image alt text image alt text Не совсем очевидно, но всё же достаточно легко решаемо производится настройка в других брайзерах - необоходимо понять на чём они основаны и исходя из этого производить настройку, например яндекс браузер основан на Chrome, поэтому и настраивать его надо похожим образом, с той лишь разницей, что для него необходимо создать файлик с другим названием в другом месте читаем статью alt о груповых политиях yandex браузера:

Итак для настройки мы импортируем сертификат в центры сертификации (в случае если компьютер введён в домен, то сертификаты зачастую подтягиваются сами): image alt text image alt text image alt text image alt text image alt text image alt text Далее создаём политики для нашего сайта:

mkdir -p /etc/opt/yandex/browser/policies/managed/
echo '{"AuthServerAllowlist": "*.astra.aaa"}' > /etc/opt/yandex/browser/policies/managed/mydomain.json

т.е. в /etc/opt/yandex/browser/policies/managed/mydomain.json должно лежать следующее содержимое:

{"AuthServerAllowlist": "*.astra.aaa"}

Обратите внимание, что название политики несколько отличается от той, что в локальном гайдде freeipa для chrome, в остальном принцип тот же самый