Pular para o conteúdo
TSplus Documentação ®
Registro de alterações

Ativar a Autenticação Integrada do Windows em um Domínio do Active Directory

Este guia é fornecido para configurar a Autenticação Integrada do Windows (Kerberos/NTLM) com uma Conta de Serviço Gerenciada por Grupo (gMSA) no Portal da Web.

Devido à natureza única da rede e da arquitetura de cada empresa, não podemos fornecer suporte para problemas que surgirem ao seguir esta documentação. Atende aos requisitos técnicos para o Portal Web com Autenticação Integrada do Windows, mas a implementação é de sua própria responsabilidade.

Configuração de domínio

O ambiente do Active Directory deve suportar autenticação Kerberos ou NTLM.

Configurar uma Conta de Serviço Gerenciada (gMSA)

Instale o serviço do Portal Web e execute-o com um conta de serviço gerenciada de domínio em vez de uma conta de administrador de domínio.

Pré-requisitos

  • Nível do esquema do Active Directory: Windows Server 2012 ou mais tarde (necessário para gMSA)
  • Pelo menos um controlador de domínio em execução Windows Server 2012 ou mais tarde
  • Chave raiz KDS criada (configuração única)
  • Associação em Administradores de Domínio ou Operadores de Conta criar a conta

Crie a chave raiz KDS (se ainda não tiver sido criada)

Executar em um controlador de domínio em uma sessão do PowerShell elevada:

Janela do terminal 
Add-KdsRootKey -EffectiveTime ((Get-Date).AddHours(-10))

Isso torna a chave raiz imediatamente disponível.

Criar o gMSA

Uso New-ADServiceAccount :

Janela do terminal 
New-ADServiceAccount `
  -Name "WebPortalSvc" `
  -DNSHostName "WebPortalSvc.domain.local" `
  -PrincipalsAllowedToRetrieveManagedPassword "YourServerGroup" `
  -Enabled $true
  • Nome nome da conta gMSA
  • NomeDoHostDNS FQDN para a conta
  • Principais autorizados a recuperar a senha gerenciada computadores/grupo permitido para usar este gMSA

Conceder direitos administrativos (opcional / conforme necessário)

Por padrão, um gMSA não possui privilégios especiais.

Para conceder acesso em nível de domínio (opcional):

Janela do terminal 
Add-ADGroupMember -Identity "Domain Admins" -Members "WebPortalSvc$"

Para conceder capacidade de administrador local/login (se necessário):

Janela do terminal 
Add-ADGroupMember -Identity "Administrateurs" -Members "WebPortalSvc$"

Importante: o final $ é necessário para referências de conta gMSA no AD.

Requisito de reinicialização

É necessário reiniciar antes de continuar e instalar/usar a conta de serviço. Também atualize as políticas.

Instale o gMSA em servidores de destino

Executar em cada servidor que usará o gMSA:

Janela do terminal 
Install-ADServiceAccount -Identity "WebPortalSvc"

Instalação de teste:

Janela do terminal 
Test-ADServiceAccount -Identity "WebPortalSvc"

Configurar serviços para usar o gMSA

  1. Conceder Iniciar sessão como um serviço à conta:

    • Abrir o Editor de Política de Grupo
    • Vá para: Configuração do Computador > Configurações do Windows > Configurações de Segurança > Políticas Locais > Atribuição de Direitos do Usuário
    • Abrir Iniciar sessão como um serviço
    • Adicionar DOMÍNIO\WebPortalSvc$

  2. Assegure as permissões NTFS nos arquivos/pastas do Portal Web:

    • Clique com o botão direito na pasta/aplicativo executável > Propriedades > Segurança
    • Adicionar DOMÍNIO\WebPortalSvc$
    • Conceda pelo menos Ler e Executar ou Controle Total se necessário pela sua implantação

  3. Configurar identidade do serviço:

    • Conta: DOMÍNIO\WebPortalSvc$
    • Senha: deixe em branco

Configurar Nome Principal do Serviço (SPN)

O serviço da web deve ser registrado no Kerberos.

Executar em um controlador de domínio:

Janela do terminal 
setspn -A HTTP/webserver.domain.com DOMAIN\WebPortalSvc

Substitua pelo FQDN do seu servidor e conta.

Se o servidor de hospedagem do Portal da Web usar HTTP.sys, registre o SPN contra a conta da máquina:

Janela do terminal 
setspn -S HTTP/portal.hiyoko.com:8008 WIN-HLBO0AGABB7
setspn -S HTTP/portal.hiyoko.com:8009 WIN-HLBO0AGABB7

Configurar rede na máquina cliente

Para colocar um cliente associado a um domínio na sub-rede correta:

  1. Identifique a interface de rede correta
  2. Remover IP estático existente (se incorreto)
  3. Atribuir IP estático, máscara de sub-rede e gateway padrão correspondendo à sub-rede DNS/DC
  4. Definir endereços de servidor DNS

Importante: atribua endereços IP estáticos ao controlador de domínio e aos clientes. A sincronização da política de segurança requer que as máquinas estejam na mesma sub-rede neste contexto.

Permitir a conectividade necessária do cliente

UDP/TCP 53 pode ser bloqueado, o que impede consultas DNS.

Passos de solução de problemas

Verifique o status do servidor DNS

No controlador de domínio:

Janela do terminal 
net start DNS

Verifique se o serviço DNS está em execução.

Verifique o IP do servidor DNS

No cliente:

Janela do terminal 
ipconfig /all

Confirme se o IP do servidor DNS corresponde ao IP do controlador de domínio.

Testar conectividade básica

No cliente:

Janela do terminal 
ping <DC_IP_Address>

Se o ping falhar, resolva problemas de roteamento de rede/firewall.

Verifique as regras do firewall

Assegure-se de que o UDP/TCP 53 de entrada/saída esteja permitido no cliente e no servidor.

Teste com nslookup

Janela do terminal 
nslookup domain.com <DC_IP_Address>

Se isso funcionar, o servidor DNS padrão pode estar mal configurado ou inacessível.

Revisar Visualizador de Eventos

No controlador de domínio, verifique erros relacionados ao DNS.

Configurar o Mozilla Firefox para Autenticação Integrada do Windows

O Firefox não usa WIA por padrão.

Passo 1: negociar URIs confiáveis

  1. Abrir o Firefox
  2. Ir para sobre:config
  3. Aceitar aviso
  4. Conjunto network.negotiate-auth.trusted-uris para seus domínios, por exemplo:
    • intranet.dominio.com, dominio.com

Passo 2: URIs NTLM confiáveis

Conjunto network.automatic-ntlm-auth.uris-confiáveis para a mesma lista de domínios.

Passo 3: URIs de delegação Kerberos (se necessário)

Conjunto network.negotiate-auth.delegation-uris , por exemplo:

  • domain.com

Passo 4: reinicie o navegador

Reinicie o Firefox para aplicar as alterações.

Configurar o Google Chrome para Autenticação Integrada do Windows

O Chrome usa as configurações de autenticação do sistema Windows.

  1. Baixar modelos ADMX do Chrome:
  2. Copiar chrome.admx e chrome.adml para:
    • C:\Windows\PolicyDefinitions
    • C:\Windows\PolicyDefinitions\pt-BR
  3. Abrir gpedit.msc
  4. Vá para:
    • Configuração do Computador > Modelos Administrativos > Google > Google Chrome
  5. Ativar autenticação integrada para sites da intranet e configurar sites confiáveis:
    • intranet.dominio.com, dominio.com
  6. Aplicar política:
Janela do terminal 
gpupdate /force

Outros métodos

Outros métodos (comandos e flags da linha de comando do Chrome) não foram bem-sucedidos neste contexto.

Configurar o Microsoft Edge para Autenticação Integrada do Windows

Edge usa políticas do Microsoft Edge e configurações de zona de segurança do Windows.

Ativar logon automático na zona da intranet

  1. Abrir Opções da Internet
  2. Segurança aba > Intranet Local > Nível Personalizado
  3. Abaixo Autenticação do Usuário , definir:
    • Logon automático apenas na zona da Intranet

Configurar políticas do Edge via GPO

Passo 1: instalar os modelos ADMX do Edge
  1. Baixar:
  2. Copiar msedge.admx e msedge.adml para:
    • C:\Windows\PolicyDefinitions
    • C:\Windows\PolicyDefinitions\pt-BR
Passo 2: editar configurações de política
  1. Abrir gpedit.msc
  2. Vá para:
    • Configuração do Computador > Modelos Administrativos > Microsoft Edge
  3. Ativar:
    • Configure a lista de servidores para os quais o Microsoft Edge pode delegar credenciais.
  4. Configurar servidores confiáveis:
    • intranet.dominio.com, dominio.com
Passo 3: aplicar políticas
Janela do terminal 
gpupdate /force

Outros métodos

Outros métodos (comandos e flags da linha de comando do Edge) não foram bem-sucedidos neste contexto.

Solução de problemas de autenticação integrada

Verifique os tickets Kerberos

No cliente Windows:

Janela do terminal 
klist

Você deve ver um ticket para HTTP/webserver.domain.com .

Limpar credenciais/tickets em cache

Janela do terminal 
klist purge

Verificar registro de SPN

No controlador de domínio:

Janela do terminal 
setspn -L serviceaccount

Assegure-se HTTP/webserver.domain.com está listado.

Depurar Kerberos no Firefox

Iniciar o Firefox com registro:

Janela do terminal 
set NSPR_LOG_MODULES=negotiateauth:5
set NSPR_LOG_FILE=%USERPROFILE%\Desktop\firefox.log
start firefox.exe

Revisão firefox.log por erros de autenticação.

Verifique as políticas do Chrome

No Chrome, abra: 

chrome://policy

Assegure-se AuthServerWhitelist e AuthNegotiateDelegateWhitelist são aplicadas.

Verifique as políticas do Edge

No Edge, abra: 

edge://policy

Assegure-se AuthServerWhitelist e AuthNegotiateDelegateWhitelist são aplicadas.

Você gostaria de ver o site em um idioma diferente?

Português
English Español Deutsch Italiano Português Français 简体中文 العربية 日本語 한국어
Mudar idioma