A autenticação integrada do Windows não funciona no PC ligado à rede AD

2

Histórico:

  1. Servidor Web executando a pilha LAMP
  2. O servidor Web tem um túnel VPN para o AD rede no QG
  3. Várias redes de AD em todo o mundo com túneis de VPN e relações de confiança com a rede HQ
  4. Autenticação do Kerberos configurada no servidor da Web e funcionando para todas as redes usando arquivos keytab
  5. Eu sou o administrador da web, mas não tenho acesso a nenhuma das configurações de rede do AD

Temos um problema com uma rede AD que se manifesta apenas com o IE ou Chrome quando o PC usado para acessar nosso servidor da Web está vinculado ao AD em questão. Nenhum token é passado e não há entradas nos logs do servidor relacionadas à negociação de token. Se usarmos o Firefox e ativar as opções network.negotiate-auth, o usuário poderá efetuar login sem problemas, no entanto, receberá um erro de autorização ao usar o IE. O site está na zona da intranet e o IWA está marcado (isso é controlado pelo GPO)

Se os usuários tentarem acessar o site com o IE ou o Chrome de fora do AD, eles receberão o prompt de autenticação esperado e um token será enviado corretamente.

Falei com os administradores de rede e eles estão certos de que não há configuração especial necessária para o AD garantir que a autenticação Kerberos funcione, mas não consigo entender por que a autenticação funciona para seis outras redes do AD e falha por esse 1 se não for até a própria configuração do AD.

Estou faltando alguma coisa? O que poderia explicar a falha em negociar um token?

[Nota - isto não é urgente, e como eu estou deixando o escritório agora responderá qualquer pedido para mais detalhes na segunda-feira]

    
por Jameel 04.04.2014 / 19:36

2 respostas

1

O problema era que um token estava sendo enviado e a negociação tentada automaticamente quando dentro da rede AD, mas sempre falhava devido à criptografia usada ao gerar o keytab.

Originalmente usamos -crypto DES-CBC-CRC mas assim que mudamos para o -crypto RC4-HMAC-NT o problema desapareceu.

    
por 14.07.2014 / 14:24
0

Não é um especialista nisso, mas estou inclinado a pensar que, se nenhum token de negociação estiver sendo trocado, o problema pode estar no fato de o aplicativo não ter seu SPN registrado com o nome de usuário associado ao keytab.

Se for esse o caso, o seguinte comando executado no servidor do AD pode corrigi-lo:

setspn –a HTTP / (seuhostname) (keytabusername)

por exemplo. setspn -a HTTP / intranetappsrv.mycompany.com jbossaccount

    
por 16.04.2014 / 19:55