Se um site hospedado pelo IIS estiver protegido usando o Kerberos, as máquinas Linux podem se conectar a ele?

4

Estou com um problema ao configurar o site do IIS 7.0 em um ambiente de teste com o Kerberos. Eu tenho uma versão de avaliação do Windows Server 2008 R2 com AD DS, AD RMS, DHCP, DNS & Funções do IIS instaladas. Eu entrei nas configurações de segurança do IIS para o site e configurei a Autenticação do Windows para permitir o login do Kerberos.

O problema que estou encontrando é que não está usando o Kerberos rotineiramente para o protocolo de segurança. Quando defino provedores no IIS para "Negociar", o Fiddler2 indica que o cabeçalho retornará um cabeçalho NTLM em 50% do tempo e um cabeçalho Kerberos nos outros 50% do tempo. Se eu definir o provedor como "Negociar: Kerberos" no IIS, não consigo acessar o site, pois ele relata imediatamente um erro 401. Além disso, qualquer tentativa de se conectar ao site em qualquer configuração usando uma máquina Linux aponta imediatamente para um erro de segurança 401.

Alguém pode fornecer alguns insights ou guias sobre como configurar isso? Eu especificamente preciso bloquear qualquer fallback para NTLM, além de ativar o Kerberos, independentemente da máquina que me conectar. Até agora, não encontrei nenhum artigo de technet ou serverfault que resolvesse totalmente esse problema.

    
por D. G. 03.09.2013 / 19:58

2 respostas

0

No Firefox, você precisará configurá-lo para usar o Kerberos em about: config network.negotiate-auth.trusted-uris e network.negotiate-auth.delegation-uris .

Para o Chrome / Chromium, experimente o navegador chromo -auth-server-whitelist="company.com"

    
por 03.09.2013 / 20:15
0

Se você deseja configurar um serviço / aplicativo do Linux para autenticar em um ponto de extremidade de serviço do IIS, é possível fazer com que a caixa do Linux seja autenticada em um site de janelas hospedadas no IIS da seguinte forma:

  1. garantir que seus provedores autenticação janelas IIS site são definidas nesta ordem para Autenticação do Windows:
    • NTLM
    • Negociar
  2. Crie um Principal para a conta que você deseja autenticar como:
    • Faça login em um servidor Windows no domínio com ferramentas kerberos (geralmente um servidor AD)
    • Registrar um nome principal de serviço (SPN) contra o conta que você deseja autenticar como e, ao mesmo tempo, gerar um arquivo keytab do Kerberos:
      • ktpass para gerar um keytab para Linux
      • ktpass -princ HTTP/[email protected] -ptype KRB5_NT_PRINCIPAL -mapuser myuser -pass mypassword -out c:\user.keytab
      • Observação: é importante que o url myiis.site.com corresponda ao seu ponto de extremidade. e que SITE.COM corresponde ao seu Componente do domínio .
    • Você pode verificar seu SPN com setspn -L myuser
    • Neste ponto, você agora tem um SPN mapeado para um usuário do AD; e um arquivo keytab do Kerberos para Linux para obter um ticket do kerberos emitido pelo KDC (AD Server) para autenticação usando o provedor Negotiate.
  3. Importe seu keytab para o aplicativo / caixa do Linux, dependendo do sabor do Kerberos. Para visualizar a credencial no keytab:
    • Kerberos
      • klist -c -k user.keytab
    • Heimdal Kerberos (supondo que você copiou o keytab para /etc/heimdal/krb5.keytab
      • ktutil list
por 10.12.2014 / 01:38