5.1 Kerberos
Siehe auch unter FAQ, Kapitel "Upgrade AGW Version 3.0 auf 3.1".
Als erstes muss der AGW dem AD beitreten (siehe Kapitel 5).
Nach dem Beitritt des AGW ist dieser im AD unter «Computer» ersichtlich. Bitte verschieben Sie den AGW nicht. Als nächstes muss sichergestellt werden, dass dem AGW Kerberos erlaubt wird.
Damit Kerberos aus dem Browser funktioniert, müssen die Browser entsprechend konfiguriert werden (siehe Kapitel 6).
Jede der unterstehenden Variante soll im Anschluss auf Funktion getestet werden. Im AGW Log sind dann die folgenden Zeilen zu finden:
got a kerberos token from the clientKerberos auth for user myuser@MYAGW.EXAMPLE.COM (myuser) successful domain MYAGW.EXAMPLE.COMSession auth (http://auth.hin.ch/REST/v1/authSession) for myuser successful
Variante 1
Dies ist die einfachste Möglichkeit.
In den Einstellungen des AGW AD Objekts Kerberos Delegation für alle Services aktivieren
Variante 2
Dies ist die etwas schwierigere Möglichkeit
In den Einstellungen des AGW AD Objekts Kerberos Delegation nur für spezifische Services aktivieren.
Dazu muss der Service http für das AGW Objekt zugelassen sein.
Variante 3
Diese Variante wird nur erfahrenen AD Administratoren empfohlen (und ensprechend nicht im Detail erklärt).
Es kann auf Kerberos Delegation verzichtet werden, sofern sichergestellt wird,
dass die korrekten SPNs für die Clients verfügbar sind, damit diese für den http Service
des AGW ein Kerberos-Ticket beziehen (können).