Konfiguration des WAPT-Servers mit Kerberos ohne Authentifizierung

[RebeccaS]

Ja, das Ticket ist hier.

Code: Alle auswählen

C:\Windows\system32>klist

LogonId est 0:0x3e7

Tickets mis en cache : (14)

#0>     Client :  client$ @ MYDOMAIN.LAN
        Serveur : krbtgt/MYDOMAIN.LAN @ MYDOMAIN.LAN
        Type de chiffrement KerbTicket : AES-256-CTS-HMAC-SHA1-96
        Indicateurs de tickets 0x60a10000 -> forwardable forwarded renewable pre_authent name_canonicalize
        Heure de démarrage : 2/25/2020 0:14:35 (Local)
        Heure de fin :   2/25/2020 10:14:25 (Local)
        Heure de renouvellement : 3/3/2020 0:14:25 (Local)
        Type de clé de session : AES-256-CTS-HMAC-SHA1-96
        Indicateurs de cache : 0x2 -> DELEGATION
        KDC appelé : srvrodc.MYDOMAIN.LAN

#7>     Client :  client$ @ MYDOMAIN.LAN
        Serveur : HTTP/srvwapt.MYDOMAIN.LAN @ MYDOMAIN.LAN
        Type de chiffrement KerbTicket : AES-256-CTS-HMAC-SHA1-96
        Indicateurs de tickets 0x40a10000 -> forwardable renewable pre_authent name_canonicalize
        Heure de démarrage : 2/25/2020 0:14:45 (Local)
        Heure de fin :   2/25/2020 10:14:25 (Local)
        Heure de renouvellement : 3/3/2020 0:14:25 (Local)
        Type de clé de session : AES-256-CTS-HMAC-SHA1-96
        Indicateurs de cache : 0
        KDC appelé : srvrodc.MYDOMAIN.LAN

[Sfonteneau]

Hast du auch einen Rodc-Server, oder hast du nur mein Beispiel verwendet?

[RebeccaS]

Nein, ich habe diesen Teil nur kopiert, aber es ist ein Standard-DC.

[Sfonteneau]

Ist der KerbTicket-Verschlüsselungstyp also tatsächlich AES-256-CTS-HMAC-SHA1-96?

Gleiches gilt für den Sitzungsschlüssel (ich weiß also nicht, was kopiert wurde...)

Andernfalls führen wir einen Test ohne wapt durch:

Kann man Firefox für die Kerberos-Authentifizierung konfigurieren?
https://docs.oracle.com/cd/E41633_01/pt...36673.html

Und weiter geht's:
https://srvwapt.mydomain.lan/add_host_kerberos

Wenn die Kerberos-Authentifizierung erfolgreich ist, lautet die Meldung:

Code: Alle auswählen

Method Not Allowed

The method is not allowed for the requested URL.

Im umgekehrten Fall, wenn die Authentifizierung fehlschlägt, wird die Meldung 401 (Authentifizierungsanforderung) ausgegeben

[RebeccaS]

Ja, das stimmt; die Verschlüsselung und der Sitzungsschlüssel wurden nicht geändert.

Ich habe die Befehle heute Morgen erneut ausgeführt (die Änderungen sind rot markiert).

C:\Windows\system32>wapt-get register
Verwende Konfigurationsdatei: C:\Program Files (x86)\wapt\wapt-get.ini
Registriere Host beim Server: https://srvwapt.mydomain.lan
System Power Controls
SCHWERWIEGENDER FEHLER: HTTPError: 403 Clientfehler: Verboten für URL: https://srvwapt.mydomain.lan/add_host_kerberos

C:\Windows\system32>
C:\Windows\system32>klist

LogonId ist 0:0x3e7

Zwischengespeicherte Tickets: (15)

#0> Client: client$ @ MYDOMAIN.LAN
Server: krbtgt/MYDOMAIN.LAN @ MYDOMAIN.LAN
KerbTicket-Verschlüsselungstyp: AES-256-CTS-HMAC-SHA1-96
Ticket-Flags 0x60a10000 -> weiterleitbar weitergeleitet erneuerbar vor_authentitätskanonisieren
Startzeit: 27.02.2020 07:52:02 (Lokal)
Endzeit: 27.02.2020 17:52:01 (Lokal)
Erneuerungszeit: 05.03.2020 07:52:01 (Lokal)
Sitzungsschlüsseltyp: AES-256-CTS-HMAC-SHA1-96
Cache-Flags: 0x2 ->
KDC-Delegierung aufgerufen: SRVDC.MYDOMAIN.LAN

#1> Client: client$ @ MYDOMAIN.LAN
Server: krbtgt/MYDOMAIN.LAN @ MYDOMAIN.LAN
KerbTicket-Verschlüsselungstyp: AES-256-CTS-HMAC-SHA1-96
Ticket-Flags 0x40e10000 -> weiterleitbar erneuerbar initial pre_authent name_canonicalize
Startzeit: 27.02.2020 07:52:01 (Lokal)
Endzeit: 27.02.2020 17:52:01 (Lokal)
Verlängerungszeit: 05.03.2020 07:52:01 (Lokal)
Sitzungsschlüsseltyp: AES-256-CTS-HMAC-SHA1-96
Cache-Flags: 0x1 -> PRIMÄRER
KDC aufgerufen: SRVDC.MYDOMAIN.LAN

#2> Client: client$ @ MYDOMAIN.LAN
Server: HTTP/srvwapt.mydomain.lan @ MYDOMAIN.LAN
KerbTicket-Verschlüsselungstyp: AES-256-CTS-HMAC-SHA1-96
Ticket-Flags 0x40a10000 -> weiterleitbar erneuerbar pre_authent name_canonicalize
Startzeit: 27.02.2020 08:02:38 (Lokal)
Endzeit: 27.02.2020 17:52:01 (Lokal)
Verlängerungszeit: 03.05.2020 07:52:01 (Lokal)
Sitzungsschlüsseltyp: AES-256-CTS-HMAC-SHA1-96
Cache-Flags: 0
Aufgerufener KDC: SRVDC.MYDOMAIN.LAN


Testergebnisse:

[Sfonteneau]

Haben Sie nach der Konfiguration der Kerberos-Authentifizierung in Firefox ein Ticket in der klist (in der Benutzerumgebung, nicht in psexe)?


Falls ja, liegt das Problem nicht am Python-Teil von WAPT (da die Fehlermeldung 401 erscheint).

Sie könnten versuchen, libnginx-mod-http-auth-spnego zu deinstallieren und es mit diesem .deb-Paket neu zu installieren:
https://wapt.tranquil.it/debian/wapt-1. ... _amd64.deb

Simon

[RebeccaS]

Nach der Konfiguration der Kerberos-Authentifizierung in Firefox:

H:\>klist

LogonId ist 0:0x7ddc0

Zwischengespeicherte Tickets: (2)

#0> Client: Benutzer @ MYDOMAIN.LAN
Server: krbtgt/MYDOMAIN.LAN @ MYDOMAIN.LAN
KerbTicket-Verschlüsselungstyp: AES-256-CTS-HMAC-SHA1-96
Ticket-Flags 0x40e10000 -> weiterleitbar erneuerbar initial pre_authent name_canonicalize
Startzeit: 27.02.2020 14:33:53 (Ortszeit)
Endzeit: 28.02.2020 0:33:53 (Ortszeit)
Verlängerungszeitpunkt: 05.03.2020 14:33:53 (Ortszeit)
Sitzungsschlüsseltyp: AES-256-CTS-HMAC-SHA1-96
Cache-Indikatoren: 0x1 -> PRIMÄR
KDC namens: SRVDC.MYDOMAIN.LAN

#1> Client: Benutzer @ MYDOMAIN.LAN
Server: HTTP/srvwapt.MYDOMAIN.LAN @ MYDOMAIN.LAN
KerbTicket-Verschlüsselungstyp: AES-256-CTS-HMAC-SHA1-96
Ticket-Flags 0x40a10000 -> weiterleitbar erneuerbar vor_authentifizieren name_kanonisieren
Startzeit: 27.02.2020 14:33:53 (Ortszeit)
Endzeit: 28.02.2020 0:33:53 (Ortszeit)
Verlängerungszeitpunkt: 05.03.2020 14:33:53 (Ortszeit)
Sitzungsschlüsseltyp: AES-256-CTS-HMAC-SHA1-96
Cache-Indikatoren: 0
KDC namens: SRVDC.MYDOMAIN.LAN



Ich habe versucht, die .deb-Datei neu zu installieren, aber es ist immer noch dasselbe...


Ich habe jedoch eine Frage:

Muss ich bei der Konfiguration des Firefox-Servers unbedingt meinen Domainnamen angeben? Welchen Unterschied macht es, wenn ich ihn nicht angebe?
Denn es ist nicht derselbe Fehler, wenn ich meinen Domainnamen nicht angebe.

Wenn ich meinen Domainnamen eingebe, erhalte ich einen 403-Fehler:

2020-02-27 14_34_21-403 Forbidden.png (7,55 KB) 11574 Aufrufe

Wenn ich meinen Domainnamen nicht angebe, erhalte ich einen 401-Fehler:

2020-02-27 14_36_49-401 Autorisierung erforderlich.png (9,9 KB) 11574 Aufrufe

Ich habe den Eindruck, dass das Problem auftritt, wenn ich diesen Befehl ausführe

Code: Alle auswählen

msktutil --server DOMAIN_CONTROLER --auto-update --keytab /etc/nginx/http-krb5.keytab --host $(hostname) -N

Bei Verwendung des ausführlichen Befehls erhalte ich Folgendes:

Code: Alle auswählen

root@srvwapt:/home/wapt# msktutil --server srvdc --auto-update --keytab /etc/nginx/http-krb5.keytab --host $(home) -N --verbose
 -- init_password: Wiping the computer password structure
 -- generate_new_password: Generating a new, random password for the computer account
 -- generate_new_password:  Characters read from /dev/urandom = 91
 -- create_fake_krb5_conf: Created a fake krb5.conf file: /tmp/.msktkrb5.conf-qimnoe
 -- reload: Reloading Kerberos Context
 -- get_short_hostname: Determined short hostname: srvwapt
 -- finalize_exec: SAM Account Name is: srvwapt$
 -- try_machine_keytab_princ: Trying to authenticate for srvwapt$ from local keytab...
 -- try_machine_keytab_princ: Error: krb5_get_init_creds_keytab failed (Generic preauthentication failure)
 -- try_machine_keytab_princ: Authentication with keytab failed
 -- try_machine_keytab_princ: Trying to authenticate for srvwapt$ from local keytab...
 -- try_machine_keytab_princ: Error: krb5_get_init_creds_keytab failed (Generic preauthentication failure)
 -- try_machine_keytab_princ: Authentication with keytab failed
 -- try_machine_keytab_princ: Trying to authenticate for host/srvwapt.microtec-agora.lan from local keytab...
 -- try_machine_keytab_princ: Error: krb5_get_init_creds_keytab failed (Client not found in Kerberos database)
 -- try_machine_keytab_princ: Authentication with keytab failed
 -- try_machine_password: Trying to authenticate for srvwapt$ with password.

Es werden weiterhin Einträge in /etc/nginx/http-krb5.keytab erstellt... Da der Rest fehlerfrei abläuft.

[Sfonteneau]

Das Ticket verkauft sich offensichtlich gut, da es in der K-Liste erscheint

Es wird jedoch offenbar von nginx abgelehnt.

Für mich ist 401 gleich 403, also gibt es keinen Unterschied.

Ist die krb5.conf-Datei des Servers korrekt? (Normalerweise sollte das keinen Einfluss haben, aber sicher ist sicher.)

Andernfalls könnte es sich um eine Zeitdifferenz zwischen dem wapt-Server und dem Client handeln.

Bei Kerberos beträgt die maximale Verzögerung 5 Minuten.

Zur korrekten Überprüfung: Server:

Python- oder WaptPython-Befehl unter Windows:

Code: Alle auswählen

Python 2.7.13 (default, Sep 26 2018, 18:42:22) 
[GCC 6.3.0 20170516] on linux2
Type "help", "copyright", "credits" or "license" for more information.
>>> import datetime
>>> datetime.datetime.utcnow()
datetime.datetime(2020, 2, 27, 17, 43, 21, 864084)

Dies ermöglicht es Ihnen, die Uhrzeit zu überprüfen, ohne Sommerzeit, Zeitzone usw. berücksichtigen zu müssen.

Ansonsten verstehe ich es nicht. Ich habe die Prozedur mit dem deb libnginx-mod-http-auth-spnego_1.14.2-2+deb10u1_amd64.deb nginx in Version 1.14 wiederholt, und es funktioniert einwandfrei.

Vielleicht eine Sonderkonferenz zum Thema Sicherheit auf AD-Ebene?

Ein weiteres mögliches Problem: Gibt es darüber hinaus eine Reverse-Proxy-Schicht?

[Sfonteneau]

Hallo

, gibt es schon irgendwelche Fortschritte?

[RebeccaS]

Hallo,

Entschuldigung für die verspätete Antwort.

Ich habe es heute Morgen noch einmal komplett neu versucht, aber es besteht weiterhin.

Schade, wir haben uns für diese Lösung zur Kerberos-Authentifizierung entschieden.

Trotzdem vielen Dank.