Authentification SSO Kerberos pour L'Accès admin keytab génération
Resolution
Kerberos SSO: authentification Kerberos pour l'accès admin keytab génération est utilisée pour fournir automatiquement les informations d'identification Windows à l'invite de connexion Lorsqu'un utilisateur accède au WebGUI du pare-feu. Un réseau qui prend en charge l'authentification unique Kerberos invite un utilisateur à se connecter uniquement pour l'accès initial au réseau (par exemple, connexion à Microsoft Windows). Après cette connexion initiale, l'utilisateur peut accéder à n'importe quel service basé sur un navigateur dans le réseau (par exemple, l'interface Web du pare-feu) sans avoir à se connecter à nouveau, jusqu'à ce que la session SSO expire. (Votre administrateur Kerberos définit la durée des sessions SSO.)
Vous activez l'authentification unique pour un périphérique Palo Alto Networks en important un keytab Kerberos dans un profil d'Authentification. Un keytab est un fichier qui contient les informations de compte Kerberos (nom principal et mot de passe haché) pour le périphérique, qui est requis pour l'authentification SSO. Chaque profil d'Authentification peut avoir un keytab. Si l'authentification SSO échoue, le périphérique invite l'utilisateur à se connecter manuellement et à effectuer l'authentification du type spécifié dans le profil (par exemple, RADIUS).
Question:
Authentification Kerberos SSO admin. Génération d'onglets pour les paramètres SSO et Active Directory
Pour les clients qui souhaitent utiliser l'authentification SSO de Kerberos pour leur environnement.
SYMPTÔMES:
Échec de l'Authentification en raison d'un keytab mal formé.
Résolution:
Voici une procédure étape par étape pour la génération du keytab et les conditions préalables:
- Compte de service sur le contrôleur de domaine qui portera les informations d'identification.
Pour le compte de service, vous devez activer le cryptage AES 128 bits/AES 256 bit si l'algorithme de cryptage est AES 128/256.
Pour activer les paramètres ci-dessus, ouvrez le compte d'utilisateur et cliquez sur compte, vous observerez l'algorithme de cryptage sous options de compte.
Paramètres du compte de service
- Certains paramètres sous le navigateur.
Pour IE, les paramètres peuvent être trouvés sous la hiérarchie ci-dessous:
Options Internet > sécurité > Intranet local (bouton sites) > Advanced > Add service FQDN à la liste.
Ici, sous sites Web, ajoutez le nom de domaine complet du pare-feu ou vous pouvez utiliser *. domain. local.
S'Il vous plaît noter: chrome va utiliser les paramètres IE.
Paramètres d'IE
Pour Firefox, tapez about: config comme URL et recherchez les URL de confiance.
Entrez le nom de domaine complet du service dans la valeur.
Paramètres Firefox
- Voici une commande qui peut être utilisée pour identifier l'algorithme de cryptage sur le contrôleur de domaine:
1. Commande klist:
C:\Users\admin > klist
client: gpdomuser1 @ GPQA.
Serveur local: http/keytabgpgw61. gpqa. local @ gpqa. LOCAL
KerbTicket Encryption type: AES-256-CTS-HMAC-SHA1 <- information="" regarding="" the="" encryption=""></-> -96
Drapeaux de tickets 0x40a50000-> renouvelables pre_authentok_as_delegate name_canonicalize
heure de début: 10/1/2015 13:11:33 (local)
heure de fin: 10/1/2015 23:09:18 (local)
renouveler heure: 10/8/2015 13:09:18 (local)
session type de clé: RSA DSI RC4-HMAC (NT)
cache Flags: 0
KDC appelé: thirugpwinad. gpqa. local
2. setspn, commande:
Setspn-s http/FQDN domain\service compte
Par exemple
setspn-s http/fwtrust12. ABC. local ABC. local\service_account_username
3. La commande pour la création de la keytab est la suivante:
Ktpass-princ http/fwtrust12. ABC. local @ ABC. LOCAL-mapuser service_account_username-Pass acct_password-crypto AES256-SHA1-PTapez KRB5_NT_PRINCIPAL-out c:\temp\xyz-test.keytab-mapop Set