• HP iLO2 - Удалённое управление настройками с помощью hponcfg и PowerShell на примере установки сертификата HP SIM

    После смены сертификата HP Systems Insight Manager (SIM) появилась необходимость заменить сведения о доверенном узле SIM в настройках интерфейса iLO2 на всех серверах HP ProLiant для того, чтобы, как и ранее, работала процедура прозрачного перехода от веб-узла SIM к веб-странице iLO2 - Single sign-on (SSO). Учитывая то, что контроллеров iLO2, требующих одинаковой настройки определённого параметра оказалось не так уж и мало, - возник вопрос об автоматизации этой задачи. Читать далее...

  • Remote Desktop Services/Terminal Services - Настройка прозрачной доменной авторизации (Single Sign-On)

    image02.03.2010
    Основное требование для SSO на стороне клиента:
    Клиентская ОС: Microsoft Windows XP SP3, Microsoft Windows Vista SP1, Microsoft Windows 7

    Для клиентов на базе Windows Vista никаких дополнительных настроек не требуется, т.к. данная функциональность уже присутствует в операционной системе, минимальное требование это наличие SP1. Для Windows 7 необходимый функционал работает в RTM.

    Для клиентов на базе Windows XP SP3 требуется правка системного реестра:

    HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders
    !Дописать! (не заменить а именно дополнить) значение параметра SecurityProviders строкой: credssp.dll

    HKLM\SYSTEM\CurrentControlSet\Control\Lsa
    !Дописать! (не заменить а именно дополнить) значение параметра Security Packages строкой: tspkg

    Вся информация по этому поводу изложена в статье Microsoft - Description of the Credential Security Service Provider (CredSSP) in Windows XP Service Pack 3
    Также привожу ссылку на пошаговую инструкцию по настройке доменных групповых политик для включения на клиентских компьютерах функции Single Sign-On -
    How to enable Single Sign-On for my Terminal Server connections
    Если в трёх словах - то для того чтобы у клиентских компьютеров работала прозрачная авторизация требуется в доменных групповых политиках настраивающих клиентские ПК изменить следующие параметры:

    Внимание! Перечисленные ниже параметры GPO доступны только при просмотре оснастки gpedit.msc в операционных системах Windows Vista / Windows Server 2008 и выше.

    Конфигурация компьютера > Административные шаблоны > Система > Передача учетных данных

    "Разрешить передачу учетных данных, настроенных по умолчанию" – Включить.
    "Связать настройки системы по умолчанию с введенными ранее" – Включить и в список серверов (по кнопке "Показать") добавить запись типа:

    TERMSRV/*
      (разрешена передача учётных данных любым терминальным серверам)
    или
    TERMSRV/*.mydom.com (разрешена передача учётных данных только к терминальным серверам домена mydom.com)

    "Разрешить сохраненные учетные данные с проверкой подлинности сервера "только NTLM" – Включено
    Список серверов в этом параметре настроить аналогично.

     image
    Замечание: для того чтобы это действительно работало при подключении к серверу имя сервера необходимо указывать полностью (FQDN).
    После написания полного имени сервера клиент RDP в поле имя пользователя автоматически подставит имя в формате
    user@domain.
    Сохранив таким образом на рабочем столе пользователя RDP ярлык мы предоставим ему возможность одним кликом мыши попасть на терминальный сервер без дополнительного ввода его учётных данных.

    Update 23.12.2011

    При попытке заставить работать SSO на Windows XP SP3 с фермой RD Connection Broker можно столкнуться с ситуацией когда после входа на сервер возникает запрос ввода учетных данных. Для разрешения этой проблемы нужно установить обновление, доступное в статье KB953760 - When you enable SSO for a terminal server from a Windows XP SP3-based client computer, you are still prompted for user credentials when you log on to the terminal server. Через WSUS данное обновление не доступно и поэтому нужно его скачивать и устанавливать отдельно.

    Дополнительные источники информации:

    TechNet Blogs > if (ms) blog++; > XP Clients, CredSSP, SSO, Connection Broker and other animals

  • Mozilla Firefox & NTLM/Kerberos Single Sign-on (SSO)

    imageПри попытке открыть в Mozilla Firefox внутренние корпоративные сайты на SharePoint Server с включённой аутентификацией Kerberos получил запрос на ввод имени пользователя и пароля. То есть прозрачная передача учетных данных текущего пользователя, как в Internet Explorer, не произошла. Просмотрел все доступные опции в меню навигации Firefox "Инструменты" > "Настройки", но с к сожалению не нашёл там ничего, касающегося безопасности передачи учетных данных текущего пользователя. После некоторых поисков в Интернете, обнаружил, что способ передачи учётных данных всё-таки имеется. Читать далее...