Kerberos: Nur für bestehende Systeme (wird nicht bei neuen Servern implementiert)

Folgen

JUST SOCIAL kann auch Single-Sign-On. Im folgenden befindet sich eine kurze Übersicht mit den Voraussetzungen für SSO über Kerberos.

Nachdem das keytab-File erzeugt ist könnt ihr über das Debian Paket just-import-ad JUST für SSO konfigurieren.

Allgemeine Voraussetzungen 

Es muss ein NTP Dienst verwendet werden, da die Uhrzeit auf allen Servern und Clients nicht mehr als 5 Minuten abweichen darf.

Voraussetzungen für den/die AD Server

  • Mindestens Windows Server 2003 SP1
  • Für das Server Betriebssystem aktuellste ktpass Version mit Unterstützung für rc4-hmac-nt Verschlüsselung (einige Versionen von ktpass unterstützen nur DES Verschlüsselung)
  • Keine Umlaute oder Sonderzeichen in den Usernamen
  • Domänenlevel muss 2003 oder neuer sein
  • Falls ein Proxy Server vorhanden ist muss die JUST SOCIAL Url als Proxy Ausnahme bei den Clients konfiguriert werden
  • Für jede URL über die JUST SOCIAL aufgerufen wird muss ein Kerberos Key(inkl AD User) samt zur URL passenden SPN erstellt werden.
  • Das Kennwort von dem AD User, für den der Kerberos Key erzeugt wurde muss im AD auf “Kennwort läuft nie ab” gesetzt werden
  • Sofern das Kennwort geändert wird, muss auch ein neuer Kerberos Key erzeugt werden

Voraussetzungen für den Client

Folgende Einstellungen müssen aktiviert sein:

Internet Explorer (Extras -> Internetoptionen)

  • Die URL von JUST SOCIAL muss zu den Intranet Sites hinzugefügt werden
  • In den Einstellungen der Intranet Zone muss folgender Haken aktiviert sein: “Automatisches Anmelden nur in der Intranetzone”
  • Unter dem Reiter “Erweitert” -> “Sicherheit” muss folgender Haken aktiviert sein: “Integrierte Windows Authentifizierung aktivieren”
  • Kompatibiliätsmodus zumindest für JUST SOCIAL ausschalten

Mozilla Firefox (about:config)

  • In den Firefox Einstellungen (about:config) muss die JUST SOCIAL URL in das Feld “network.negotiate-auth.trusted-uris” eingetragen werden

Auf AD-Server Keytab-File generieren
Auf dem AD-Server muss mittels ktpass.exe das Keytab-File erstellt werden:

Der AD User muss vor dem Erstellen des Keytab Files jedes mal frisch angelegt werden damit die kvno immer 3 ist.

Aufbau des keytab-Befehls:
C:\>ktpass -princ HTTP/<juco-url>@<NT-DNS-REALM-NAME> -mapuser <account>@<NT-DNS-REALM-NAME> -crypto rc4-hmac-nt -ptype KRB5_NT_SRV_HST -pass <PASSWORT> -out c:\kerberos.keytab

Als Parameter werden folgende Daten benötigt:
<juco-url>: FQDN des Web/Application-Servers, z.B. cloud.just.social
(immer klein geschrieben)
<NT-DNS-REALM-NAME>: AD-Domänen-Name (immer komplett groß geschrieben)
<Account>: Angelegter Account im AD, z.B. justconnect (immer klein geschrieben)
<PASSWORT>: Passwort des angelegten AD-Accounts

Beispiel:
C:\>ktpass -princ HTTP/cloud.just.social@JUSTSOFTWAREAG.LOCAL -mapuser
justconnect@JUSTSOFTWAREAG.LOCAL -crypto rc4-hmac-nt -ptype KRB5_NT_SRV_HST -pass myPassword - out c:\kerberos.keytab

 

Das Keytab-File muss auf dem JUST Server unter folgendem Pfad abgelegt werden:

/home/justsoftware/justconnect_conf/kerberos.keytab

Fehlerbehebung

Sollte SSO auf Anhieb nicht funktionieren kann das Script

/home/justsoftware/bin/check_sso_configuration.sh

die aktuelle Konfiguration samt Keytab File überprüfen und bei der Fehlerbehebung helfen.

0 von 0 fanden dies hilfreich

Kommentare

0 Kommentare

Bitte melden Sie sich an, um einen Kommentar zu hinterlassen.