SSO Kerberos Authentifizierung für Admin Access keytab GeneRation
Resolution
Kerberos SSO: Kerberos Authentifizierung für Admin Access keytab Generation wird verwendet, um die Windows-Berechtigungen automatisch an den Login-Prompt zu liefern, wenn ein Benutzer auf die WebGUI der Firewall zugreift. EIN Netzwerk, das Kerberos SSO unterstützt, veranlasst einen Benutzer, sich nur für den ersten Zugriff auf das Netzwerk anzumelden (zum Beispiel, um sich bei Microsoft Windows einzuloggen). Nach diesem ersten Login kann der Benutzer auf jeden Browser-basierten Dienst im Netzwerk zugreifen (zum Beispiel die Firewall-Web-Schnittstelle), ohne sich erneut einloggen zu müssen, bis die SSO-Sitzung ausläuft. (Ihr Kerberos-Administrator legt die Dauer der SSO-Sitzungen fest.)
Sie aktivieren SSO für ein Palo Alto Networks-Gerät, indem Sie einen Kerberos keytab in ein Authentifizierungs Profil importieren. EIN keytab ist eine Datei, die Kerberos-Kontoinformationen (Hauptname und gehasst-Passwort) für das Gerät enthält, die für die SSO-Authentifizierung benötigt werden. Jedes Authentifizierungs Profil kann einen keytab haben. Wenn die SSO-Authentifizierung fehlschlägt, fordert das Gerät den Benutzer auf, sich manuell einzuloggen und führt eine Authentifizierung des im Profil angegebenen Typs durch (zum Beispiel RADIUS).
Problem:
Kerberos SSO admin Authentifizierung. Generierung von keytabs für SSO und aktive Verzeichnis Einstellungen
Für Kunden, die Kerberos SSO-Authentifizierung für Ihre Umgebung nutzen wollen.
Symptome:
Die Authentifizierung scheitert an einem missgebildeten keytab.
Resolution:
Hier ist ein Schritt-für-Schritt-Verfahren zur Generierung des keytab und der Voraussetzungen:
- Service-Konto auf dem Domain-Controller, der die Berechtigungen tragen wird.
Für das Service-Konto müssen Sie AES 128 Bit Encryption/AES 256 Bit-Verschlüsselung aktivieren, wenn der Verschlüsselungsalgorithmus AES 128/256 ist.
Um die obigen Einstellungen zu aktivieren, das Benutzerkonto zu öffnen und auf das Konto zu klicken, werden Sie den Verschlüsselungsalgorithmus unterKonto Optionen beobachten.
Service-Kontoeinstellungen
- Einige Einstellungen unter dem Browser.
Für IE finden sich die Einstellungen unter der folgenden Hierarchie:
Internet-Optionen > Sicherheit > Lokales Intranet (Seiten-Button) > Advanced > Service FQDN in die Liste eintragen.
Hier unter Webseiten, fügen Sie den FQDN der Firewall hinzu oder Sie können *. Domain. local verwenden.
Bitte beachten Sie: Chrome wird IE-Einstellungen verwenden.
IE Einstellungen
Für Firefox, tippen Sie über: config als URL und suchen Sie vertrauenswürdige URLs.
Geben Sie den Dienst FQDN in den Wert.
Firefox Einstellungen
- Hier ist ein Befehl, der verwendet werden kann, um den Verschlüsselungsalgorithmus auf dem Domain-Controller zu identifizieren:
1. klist Command:
C:\Users\admin > klist
Client: gpdomuser1 @ gpqa. LOKALER
Server: http/keytabgpgw61. gpqa. local @ gpqa. LOKALE
Kerbticket-Verschlüsselungs Typ: AES-256-CTS-HMAC-SHA1- <- information="" regarding="" the="" encryption=""></-> 96
Ticket-Fahnen 0x40a50000-> forwarable Renewable pre_authentok_as_delegate name_canonicalize
Startzeit: 10/1/2015 13:11:33 (lokale)
Endzeit: 10/1/2015 23:09:18 (lokale)
Verlängerung Zeit: 10/8/2015 13:09:18 (lokal)
Session Key Type: RSA DSI RC4-HMAC (NT)
Cache Flags: 0
KDC genannt: thirugpwinad. gpqa. local
2. SETSPN-Befehl:
setspn-s http/FQDN domain\service Account
Zum Beispiel
setspn-s http/fwtrust12. ABC. local ABC. local\service_account_username
3. Der Befehl zur Erstellung des keytab ist wie folgt:
ktpass-princ http/fwtrust12. ABC. local @ ABC. LOKAL-mapuser service_account_username-Pass acct_password-Crypto AES256-SHA1-pType KRB5_NT_PRINCIPAL-Out c:\temp\xyz-Test.keytab-mapop Set