Wir haben unseren WAPT Enterprise Server (auf dem neuesten Stand) seit über einem Jahr produktiv auf einem Ubuntu-Server (ebenfalls auf dem neuesten Stand) im Einsatz.
Details zur Version:
WAPT 2.3.0.13516
Wir wollten in unserer Domäne von NTLM wegkommen und nur noch Kerberos verwenden.Ubuntu 22.04.2 LTS
Wir haben uns daher daran gemacht, WAPT mit Kerberos zu konfigurieren.
- Alle Konfigurationen erfüllen die Voraussetzungen (Abschnitt Debian-Installation)
- Wir haben uns an die Dokumentation zur "Stärkung der Sicherheit Ihres WAPT-Servers" gehalten (mit Ausnahme des Firewall-Teils, den wir nach Kerberos implementieren werden).
Der gesamte „Kerberos-Konfigurations- und Nachkonfigurationsprozess“ verlief reibungslos.
Es ist jedoch derzeit nicht möglich, vom WAPT-Softwarezentrum aus eine Verbindung herzustellen.
Wenn ich der Dokumentation folge, ergibt sich Folgendes:
- use_kerberos=True ist sowohl auf Client- als auch auf Serverseite korrekt aktiviert
- Die Keytab-Datei ist gut und entspricht den Angaben in der Dokumentation
- Der Befehl "kinit -k -t /etc/nginx/http-krb5.keytab srvwapt\$@AD.TRANQUIL.IT" generiert tatsächlich ein Ticket für den Server (klist)
- Auf einem Client-PC kann ich das Gerät mithilfe der Systemkonsole und dem Befehl "wapt-get register" erfolgreich registrieren:
Wenn ich einen Test mit dem Curl-Befehl ausführe, erhalte ich die Fehlermeldung: http/1.1 405 METHOD NOT ALLOWED:C:\windows\system32>wapt-get register
Verwende Konfigurationsdatei: C:\Program Files (x86)\wapt\wapt-get.ini
Registriere Host beim Server: https://srvwapt.toto.local
Host korrekt beim Server https://srvwapt.toto.local.
Wenn ich den Test in Firefox durchführe, wie er ein- oder zweimal im Forum beschrieben wurde, erhalte ich das gleiche Ergebnis (405 METHODE NICHT ERLAUBT)> GET /add_host_kerberos HTTP/1.1
> Host: frscmwapt.scmlemans.com
> Authorization: Negotiate CLE_EFFACE
> User-Agent: curl/7.81.0
> Accept: */*
>
* TLSv1.2 (IN), TLS header, Supplemental data (23):
* Mark bundle as not supporting multiuse
< HTTP/1.1 405 METHOD NOT ALLOWED
< Server: nginx
< Date: Wed, 22 Mar 2023 12:33:32 GMT
< Content-Type: text/html; charset=utf-8
< Content-Length: 178
< Connection: keep-alive
< WWW-Authenticate: Negotiate KEY_ERAS
< WWW-Authenticate: Basic realm=""
< Allow: OPTIONS, POST, HEAD
< Strict-Transport-Security: max-age=63072000
<
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 3.2 Final//EN">
<title>405 Method Not Allowed</title>
<h1>Method Not Allowed</h1>
<p>The method is not allowed for the requested URL.</p>
* Verbindung #0 zu Host srvwapt.toto.local wurde beibehalten
Wenn ich von einem Benutzer-PC aus ein Ticket anfordere, erhalte ich folgende Antwort:
Schließlich kann nun kein Benutzer mehr das Softwarecenter nutzen (was für mich Sinn ergibt, da die Kerberos-Anfrage fehlgeschlagen ist)C:\windows\system32>klist get https://srvwapt.toto.local
LogonId ist 0:0x3e7
Fehler beim Aufruf der API LsaCallAuthenticationPackage (Unterstatus GetTicket): 0x6fb
klist fehlgeschlagen mit 0xc000018b/-1073741429: Die SAM-Datenbank des Windows-Servers verfügt über kein Computerkonto für die Vertrauensstellung mit dieser Arbeitsstation.
Die Administratorkonsole funktioniert jedoch weiterhin (was Sinn ergibt, da sie kein Kerberos verwendet).
Entschuldigung für den langen Text und vielen Dank fürs Lesen.
