Симптомы

Прозрачная авторизация\аутентификация Kerberos для двух доменов

Решение

Для двух доменов с прозрачной авторизацией это сделать возможно, для большего количества в текущей реализации ПО UserGate - нет.

1 вариант:

1. Имеются два домена onedomain.loc и twodomain.loc. Создайте для каждого домена свой LDAP коннектор.
2. Пропишите в общих настройках UTM первый домен Auth captive-портала - auth.onedomain.loc (а также block и logout, данные А-записи должны резолвиться с обоих доменов)
3. На контроллере домена onedomain.loc создайте keytab файл:
   ktpass.exe /princ HTTP/auth.onedomain.loc@ONEDOMAIN.LOC /mapuser kerb@ONEDOMAIN.LOC /crypto ALL /ptype KRB5_NT_PRINCIPAL /pass * /out C:\utm.keytab
4. Для второго домена twodomain.loc создайте keytab файл:
   ktpass.exe /princ HTTP/auth.onedomain.loc@TWODOMAIN.LOC /mapuser kerb@TWODOMAIN.LOC /crypto ALL /ptype KRB5_NT_PRINCIPAL /pass * /out C:\utm.keytab
5. Загрузите в LDAP коннектор каждого домена полученные keytab файлы.
6. В настройках метода аутентификации оставьте только Kerberos.

2 вариант:

1. Для двух доменов создаёте два сервера авторизации LDAP, создаёте в каждом домене kerberos SPN-принципала с keytab-файлом (в одном обязательно - во втором - для уменьшения нагрузки на контроллер).
2. В настройке Домен auth captive-портала указываете FQDN первого домена (в котором обязательно должен быть SPN и keytab)
3. Для второго домена создаёте сервер авторизации NTLM. В профиле аутентификации выбираете метод NTLM с созданным сервером.

Браузеры пользователей 1-го домена будут присылать kerberos-билеты, которые будут расшифрованы keytab-файлом, а второго - пришлют NTLM и будут авторизованы через контроллер домена,
а для получения групп пользователя UserGate (при наличии второго кейтаба) сам получит kerberos-тикет - это менее затратно чем LDAP-запрос.