Autenticación de Kerberos de SSO para admin Access keytab Generation
Resolution
Kerberos SSO: autenticación Kerberos para admin Access keytab Generation se utiliza para suministrar las credenciales de Windows automáticamente al prompt de inicio de sesión cuando un usuario accede a la webgui del firewall. Una red que admite Kerberos SSO solicita al usuario que inicie sesión sólo para tener acceso inicial a la red (por ejemplo, iniciar sesión en Microsoft Windows). Después de este inicio de sesión inicial, el usuario puede acceder a cualquier servicio basado en el navegador de la red (por ejemplo, la interfaz web del cortafuegos) sin tener que volver a iniciar sesión, hasta que expire la sesión SSO. (El administrador de Kerberos establece la duración de las sesiones SSO.)
Se habilita SSO para un dispositivo Palo Alto Networks importando un Keytab Kerberos en un perfil de autenticación. Un keytab es un archivo que contiene información de la cuenta Kerberos (nombre principal y contraseña Hashed) para el dispositivo, que se requiere para la autenticación SSO. Cada perfil de autenticación puede tener un keytab. Si la autenticación SSO falla, el dispositivo solicita al usuario que inicie sesión manualmente y realiza la autenticación del tipo especificado en el perfil (por ejemplo, RADIUS).
Problema:
Autenticación de administración SSO de Kerberos. Generación de Keytabs para la configuración de SSO y Active Directory
Para los clientes que deseen utilizar la autenticación SSO de Kerberos para su entorno.
SÍNTOMAS:
El fallar de la autentificación debido a un keytab malformado.
Resolución:
He aquí un procedimiento paso a paso para la generación del keytab y los prerrequisitos:
- Cuenta de servicio en el controlador de dominio que llevará las credenciales.
Para la cuenta de servicio, necesita habilitar la encriptación AES 128 bit de encriptación/AES 256 bit si el algoritmo de encriptación es AES 128/256.
Para habilitar la configuración anterior, abra la cuenta de usuario y haga clic en cuenta, observará el algoritmo de encriptación bajo Opciones de cuenta.
Configuración de la cuenta de servicio
- Algunos ajustes bajo el navegador.
Para IE, los ajustes pueden encontrarse bajo la siguiente jerarquía:
Opciones de Internet > seguridad > Intranet local (botón sitios) > Advanced > agregar servicio FQDN a la lista.
Aquí, en sitios web, agregue el FQDN del cortafuegos o puede utilizar *. domain. local.
Por favor note: Chrome usará los ajustes de IE.
Configuración de IE
Para Firefox, escribe about: config como URL y busca URLs de confianza.
Especifique el FQDN del servicio en el valor.
Configuración de Firefox
- He aquí un comando que se puede utilizar para identificar el algoritmo de encriptación en el controlador de dominio:
1. Comando klist:
C:\Users\admin > klist
cliente: gpdomuser1 @ GPQA.
Servidor local: http/keytabgpgw61. gpqa. local @ gpqa.
Tipo de cifrado KerbTicket local: AES-256-CTS-HMAC-SHA1 <- information="" regarding="" the="" encryption=""></-> -96
Banderas de tickets 0x40a50000-> pre_authentok_as_delegate renovable remitible name_canonicalize
hora de Inicio: 10/1/2015 13:11:33 (local)
tiempo de finalización: 10/1/2015 23:09:18 (local)
renovar tiempo: 10/8/2015 13:09:18 (local)
sesión tipo de clave: RSA DSI RC4-HMAC (NT)
Cache Flags: 0
KDC llamado: thirugpwinad. gpqa. local
2. Comando setspn:
setspn-s http/FQDN dominio\cuenta cuenta
Por ejemplo
setspn-s http/fwtrust12. ABC. local ABC. local\service_account_username
3. El comando para crear el keytab es el siguiente:
ktpass-princ http/fwtrust12. ABC. local @ ABC. LOCAL-mapuser service_account_username-Pass acct_password-Crypto AES256-SHA1-Ptype KRB5_NT_PRINCIPAL-salida c:\temp\xyz-test.keytab-mapop set