用于管理访问 Keytab 生成的 SSO Kerberos 身份验证
Resolution
kerberos SSO: 用于管理访问 Keytab 生成的 kerberos 身份验证用于在用户访问防火墙的 WebGUI 时自动向登录提示符提供 windows 凭据。支持 Kerberos SSO 的网络会提示用户仅登录到网络的初始访问 (例如, 登录到 Microsoft Windows)。在初始登录之后, 用户可以访问网络中的任何基于浏览器的服务 (例如防火墙 web 界面), 而无需再次登录, 直到 SSO 会话过期为止。(Kerberos 管理员设置 SSO 会话的持续时间。
通过将 Kerberos keytab 导入身份验证配置文件, 可以为帕洛阿尔托网络设备启用 SSO。keytab 是一个文件, 其中包含设备的 Kerberos 帐户信息 (主要名称和哈希密码), 这是 SSO 身份验证所必需的。每个身份验证配置文件都可以有一个 keytab。如果 SSO 身份验证失败, 设备会提示用户手动登录, 并对配置文件中指定的类型执行身份验证 (例如, RADIUS)。
问题:
Kerberos SSO 管理身份验证。用于 SSO 和活动目录设置的 keytabs 的生成
对于希望对其环境使用 Kerberos SSO 身份验证的客户。
症状:
由于错误的 keytab, 身份验证失败。
分辨率:
以下是生成 keytab 和先决条件的分步过程:
- 将承载凭据的域控制器上的服务帐户。
对于服务帐户, 如果加密算法为 aes 128/256, 则需要启用 aes 128 位加密/aes 256 位加密。
要启用上述设置, 请打开用户帐户并单击 "帐户", 您将在 "帐户选项" 下观察加密算法。
服务帐户设置
- 浏览器下的某些设置。
对于 IE, 可以在下面的层次结构中找到设置:
互联网选项 > 安全 > 本地 intranet (站点按钮) > 高级 > 将服务 FQDN 添加到列表中。
在 "网站" 下, 添加防火墙的 fqdn, 或者使用 *. 域. 本地。
请注意: Chrome 将使用 IE 设置。
IE 设置
对于火狐, 请键入: 配置为 URL 并搜索受信任的 url。
在该值中输入服务 FQDN。
火狐设置
- 下面是一个命令, 可用于标识域控制器上的加密算法:
1。klist 命令:
C: \ 用户 \ 管理员 > klist
客户端: gpdomuser1 @ GPQA。本地
服务器: HTTP/keytabgpgw61 gpqa 本地 @ gpqa。本地
KerbTicket 加密类型: AES-256-CTS-HMAC-SHA1-96 <- information="" regarding="" the="" encryption=""></->
票务标志 0x40a50000->> forwardable 可再生 pre_authentok_as_delegate name_canonicalize
开始时间:10/1/2015 13:11:33 (本地)
结束时间:10/1/2015 23:09:18 (本地)
更新时间:10/8/2015 13:09:18 (本地)
会话密钥类型: RSARC4-HMAC (NT)
高速缓存标志: 0
Kdc 称为: thirugpwinad.gpqa.local
2。setspn 命令:
setspn 的 http/fqdn 域 \ 服务帐户
例如
setspn http/fwtrust12 本地 abc. 本地 \ service_account_username
3。创建 keytab 的命令如下所示:
ktpass princ http/fwtrust12. local@ABC。局部 mapuser service_account_username acct_password-密码 aes256-sha1 ptype KRB5_NT_PRINCIPAL-c:\temp\xyz-test.keytab 集