Autenticação proxy Kerberos - Problemas do tíquete de serviço Kerberos

3

Eu tenho um BlueCoat ProxySG que é capaz de autenticar usuários via Kerberos. Está definido para "Proxy", pelo que requer autenticação de utilizador para cada nova ligação TCP. Os usuários têm um Single Sign On e seus PCs passam automaticamente suas credenciais de login do Windows quando solicitados pelos serviços de rede. A questão, é que em um site com muitas conexões de fundo (www.bbc.com neste caso), o usuário começará a receber popups de credenciais depois de tanto tempo (a maior parte da página e das imagens já foram carregadas por esta altura). Eu acredito que isso acontece com todos os usuários que usam este site.

Em uma captura de pacote do PC do usuário, a autenticação Kerberos parece estar funcionando em todas as tentativas de conexão (solicitações GET e CONNECT) à medida que o usuário passa o tíquete de serviço adequadamente com as solicitações GET / CONNECT. Mas, de repente, começa a procurar o novo KDC para um novo ticket de serviço ... e, na verdade, ele comete um erro PRE_AUTH_REQUIRED e precisa obter um novo KRBTGT do KDC antes de tentar o TGS_REQ para o proxy novamente. É quando os popups de credenciais parecem acontecer.

  • Meu entendimento é que o tíquete de serviço é armazenado na bandeja de Curb do usuário e pode ser reutilizado até que seja necessário renová-lo (conforme indicado pela data de renovação no próprio ticket). Esta compreensão correta?
  • Por que o proxy de repente exigiria um ticket diferente?
  • O BlueCoat ProxySG deve retornar automaticamente ao NTLM quando o Kerberos não funciona, por que ele não está funcionando? (O NTLM funciona bem quando não está usando o Kerberos como método principal de autenticação)

Obrigado antecipadamente!

    
por NetRay 19.10.2015 / 03:28

1 resposta

0

A questão, como se constata, não foi com o Kerberos. Há duas configurações de realms de autenticação - 1 para o IWA Direct e 1 para o IWA BCAAA. O domínio BCAAA não possui autenticação kerberos. Ao se conectar ao bbc.com, o usuário autentica usando o domínio Kerberos. Devido ao processo de autenticação ser definido como proxy, ele requer autenticação em cada nova tentativa de conexão. No entanto, um URL de segundo plano no site da BBC (provavelmente algum site de anúncios) estava atingindo outra regra de política de autenticação listada antes da regra de política de autenticação Kerberos. Ele foi definido como Proxy IP (auth a cada 15 minutos usando um substituto de IP) e somente a autenticação NTLM e Basic estava disponível. Assim, estava apresentando um popup de autorização, pois as demais sessões do site estavam sendo autorizadas pelo território Kerberos.

    
por 01.11.2015 / 21:49