Ruhiges IT-Forum

Kontaktieren Sie uns
unter https://forum.tranquil.it/

Konfiguration des WAPT-Servers mit Kerberos ohne Authentifizierung

https://forum.tranquil.it/viewtopic.php?t=2198

Seite 2 von 3

Betreff: Konfiguration des WAPT-Servers mit Kerberos ohne Authentifizierung

Veröffentlicht: 25. Februar 2020 - 8:30 Uhr
von RebeccaS
Ja, das Ticket ist hier.

Code: Alle auswählen

C:\Windows\system32>klist

LogonId est 0:0x3e7

Tickets mis en cache : (14)

#0>     Client :  client$ @ MYDOMAIN.LAN
        Serveur : krbtgt/MYDOMAIN.LAN @ MYDOMAIN.LAN
        Type de chiffrement KerbTicket : AES-256-CTS-HMAC-SHA1-96
        Indicateurs de tickets 0x60a10000 -> forwardable forwarded renewable pre_authent name_canonicalize
        Heure de démarrage : 2/25/2020 0:14:35 (Local)
        Heure de fin :   2/25/2020 10:14:25 (Local)
        Heure de renouvellement : 3/3/2020 0:14:25 (Local)
        Type de clé de session : AES-256-CTS-HMAC-SHA1-96
        Indicateurs de cache : 0x2 -> DELEGATION
        KDC appelé : srvrodc.MYDOMAIN.LAN

#7>     Client :  client$ @ MYDOMAIN.LAN
        Serveur : HTTP/srvwapt.MYDOMAIN.LAN @ MYDOMAIN.LAN
        Type de chiffrement KerbTicket : AES-256-CTS-HMAC-SHA1-96
        Indicateurs de tickets 0x40a10000 -> forwardable renewable pre_authent name_canonicalize
        Heure de démarrage : 2/25/2020 0:14:45 (Local)
        Heure de fin :   2/25/2020 10:14:25 (Local)
        Heure de renouvellement : 3/3/2020 0:14:25 (Local)
        Type de clé de session : AES-256-CTS-HMAC-SHA1-96
        Indicateurs de cache : 0
        KDC appelé : srvrodc.MYDOMAIN.LAN

Betreff: Konfiguration des WAPT-Servers mit Kerberos ohne Authentifizierung

Veröffentlicht: 25. Februar 2020 – 17:47 Uhr
von Sfonteneau
Hast du auch einen Rodc-Server, oder hast du nur mein Beispiel verwendet?

Betreff: Konfiguration des WAPT-Servers mit Kerberos ohne Authentifizierung

Veröffentlicht: 26. Februar 2020 - 09:24 Uhr
von RebeccaS
Nein, ich habe diesen Teil nur kopiert, aber es ist ein Standard-DC.

Betreff: Konfiguration des WAPT-Servers mit Kerberos ohne Authentifizierung

Veröffentlicht: 26. Februar 2020 – 18:17 Uhr
von Sfonteneau
Ist der KerbTicket-Verschlüsselungstyp also tatsächlich AES-256-CTS-HMAC-SHA1-96?

Gleiches gilt für den Sitzungsschlüssel (ich weiß also nicht, was kopiert wurde...)

Andernfalls führen wir einen Test ohne wapt durch:

Kann man Firefox für die Kerberos-Authentifizierung konfigurieren?
https://docs.oracle.com/cd/E41633_01/pt...36673.html

Und weiter geht's:
https://srvwapt.mydomain.lan/add_host_kerberos

Wenn die Kerberos-Authentifizierung erfolgreich ist, lautet die Meldung:

Code: Alle auswählen

Method Not Allowed

The method is not allowed for the requested URL.
Im umgekehrten Fall, wenn die Authentifizierung fehlschlägt, wird die Meldung 401 (Authentifizierungsanforderung) ausgegeben

Betreff: Konfiguration des WAPT-Servers mit Kerberos ohne Authentifizierung

Veröffentlicht: 27. Februar 2020 - 8:26 Uhr
von RebeccaS
Ja, das stimmt; die Verschlüsselung und der Sitzungsschlüssel wurden nicht geändert.

Ich habe die Befehle heute Morgen erneut ausgeführt (die Änderungen sind rot markiert).

C:\Windows\system32>wapt-get register
Verwende Konfigurationsdatei: C:\Program Files (x86)\wapt\wapt-get.ini
Registriere Host beim Server: https://srvwapt.mydomain.lan
System Power Controls
SCHWERWIEGENDER FEHLER: HTTPError: 403 Clientfehler: Verboten für URL: https://srvwapt.mydomain.lan/add_host_kerberos

C:\Windows\system32>
C:\Windows\system32>klist

LogonId ist 0:0x3e7

Zwischengespeicherte Tickets: (15)

#0> Client: client$ @ MYDOMAIN.LAN
Server: krbtgt/MYDOMAIN.LAN @ MYDOMAIN.LAN
KerbTicket-Verschlüsselungstyp: AES-256-CTS-HMAC-SHA1-96
Ticket-Flags 0x60a10000 -> weiterleitbar weitergeleitet erneuerbar vor_authentitätskanonisieren
Startzeit: 27.02.2020 07:52:02 (Lokal)
Endzeit: 27.02.2020 17:52:01 (Lokal)
Erneuerungszeit: 05.03.2020 07:52:01 (Lokal)
Sitzungsschlüsseltyp: AES-256-CTS-HMAC-SHA1-96
Cache-Flags: 0x2 ->
KDC-Delegierung aufgerufen: SRVDC.MYDOMAIN.LAN

#1> Client: client$ @ MYDOMAIN.LAN
Server: krbtgt/MYDOMAIN.LAN @ MYDOMAIN.LAN
KerbTicket-Verschlüsselungstyp: AES-256-CTS-HMAC-SHA1-96
Ticket-Flags 0x40e10000 -> weiterleitbar erneuerbar initial pre_authent name_canonicalize
Startzeit: 27.02.2020 07:52:01 (Lokal)
Endzeit: 27.02.2020 17:52:01 (Lokal)
Verlängerungszeit: 05.03.2020 07:52:01 (Lokal)
Sitzungsschlüsseltyp: AES-256-CTS-HMAC-SHA1-96
Cache-Flags: 0x1 -> PRIMÄRER
KDC aufgerufen: SRVDC.MYDOMAIN.LAN

#2> Client: client$ @ MYDOMAIN.LAN
Server: HTTP/srvwapt.mydomain.lan @ MYDOMAIN.LAN
KerbTicket-Verschlüsselungstyp: AES-256-CTS-HMAC-SHA1-96
Ticket-Flags 0x40a10000 -> weiterleitbar erneuerbar pre_authent name_canonicalize
Startzeit: 27.02.2020 08:02:38 (Lokal)
Endzeit: 27.02.2020 17:52:01 (Lokal)
Verlängerungszeit: 03.05.2020 07:52:01 (Lokal)
Sitzungsschlüsseltyp: AES-256-CTS-HMAC-SHA1-96
Cache-Flags: 0
Aufgerufener KDC: SRVDC.MYDOMAIN.LAN


Testergebnisse:

Betreff: Konfiguration des WAPT-Servers mit Kerberos ohne Authentifizierung

Veröffentlicht: 27. Februar 2020 – 13:43 Uhr
von Sfonteneau
Haben Sie nach der Konfiguration der Kerberos-Authentifizierung in Firefox ein Ticket in der klist (in der Benutzerumgebung, nicht in psexe)?


Falls ja, liegt das Problem nicht am Python-Teil von WAPT (da die Fehlermeldung 401 erscheint).

Sie könnten versuchen, libnginx-mod-http-auth-spnego zu deinstallieren und es mit diesem .deb-Paket neu zu installieren:
https://wapt.tranquil.it/debian/wapt-1. ... _amd64.deb

Simon

Betreff: Konfiguration des WAPT-Servers mit Kerberos ohne Authentifizierung

Veröffentlicht: 27. Februar 2020 – 15:26 Uhr
von RebeccaS
Nach der Konfiguration der Kerberos-Authentifizierung in Firefox:

H:\>klist

LogonId ist 0:0x7ddc0

Zwischengespeicherte Tickets: (2)

#0> Client: Benutzer @ MYDOMAIN.LAN
Server: krbtgt/MYDOMAIN.LAN @ MYDOMAIN.LAN
KerbTicket-Verschlüsselungstyp: AES-256-CTS-HMAC-SHA1-96
Ticket-Flags 0x40e10000 -> weiterleitbar erneuerbar initial pre_authent name_canonicalize
Startzeit: 27.02.2020 14:33:53 (Ortszeit)
Endzeit: 28.02.2020 0:33:53 (Ortszeit)
Verlängerungszeitpunkt: 05.03.2020 14:33:53 (Ortszeit)
Sitzungsschlüsseltyp: AES-256-CTS-HMAC-SHA1-96
Cache-Indikatoren: 0x1 -> PRIMÄR
KDC namens: SRVDC.MYDOMAIN.LAN

#1> Client: Benutzer @ MYDOMAIN.LAN
Server: HTTP/srvwapt.MYDOMAIN.LAN @ MYDOMAIN.LAN
KerbTicket-Verschlüsselungstyp: AES-256-CTS-HMAC-SHA1-96
Ticket-Flags 0x40a10000 -> weiterleitbar erneuerbar vor_authentifizieren name_kanonisieren
Startzeit: 27.02.2020 14:33:53 (Ortszeit)
Endzeit: 28.02.2020 0:33:53 (Ortszeit)
Verlängerungszeitpunkt: 05.03.2020 14:33:53 (Ortszeit)
Sitzungsschlüsseltyp: AES-256-CTS-HMAC-SHA1-96
Cache-Indikatoren: 0
KDC namens: SRVDC.MYDOMAIN.LAN



Ich habe versucht, die .deb-Datei neu zu installieren, aber es ist immer noch dasselbe...


Ich habe jedoch eine Frage:

Muss ich bei der Konfiguration des Firefox-Servers unbedingt meinen Domainnamen angeben? Welchen Unterschied macht es, wenn ich ihn nicht angebe?
Denn es ist nicht derselbe Fehler, wenn ich meinen Domainnamen nicht angebe.

Wenn ich meinen Domainnamen eingebe, erhalte ich einen 403-Fehler:
2020-02-27 14_34_21-403 Forbidden.png
2020-02-27 14_34_21-403 Forbidden.png (7,55 KB) 11576 Aufrufe
Wenn ich meinen Domainnamen nicht angebe, erhalte ich einen 401-Fehler:
2020-02-27 14_36_49-401 Autorisierung erforderlich.png
2020-02-27 14_36_49-401 Autorisierung erforderlich.png (9,9 KB) 11576 Aufrufe
Ich habe den Eindruck, dass das Problem auftritt, wenn ich diesen Befehl ausführe

Code: Alle auswählen

msktutil --server DOMAIN_CONTROLER --auto-update --keytab /etc/nginx/http-krb5.keytab --host $(hostname) -N
Bei Verwendung des ausführlichen Befehls erhalte ich Folgendes:

Code: Alle auswählen

root@srvwapt:/home/wapt# msktutil --server srvdc --auto-update --keytab /etc/nginx/http-krb5.keytab --host $(home) -N --verbose
 -- init_password: Wiping the computer password structure
 -- generate_new_password: Generating a new, random password for the computer account
 -- generate_new_password:  Characters read from /dev/urandom = 91
 -- create_fake_krb5_conf: Created a fake krb5.conf file: /tmp/.msktkrb5.conf-qimnoe
 -- reload: Reloading Kerberos Context
 -- get_short_hostname: Determined short hostname: srvwapt
 -- finalize_exec: SAM Account Name is: srvwapt$
 -- try_machine_keytab_princ: Trying to authenticate for srvwapt$ from local keytab...
 -- try_machine_keytab_princ: Error: krb5_get_init_creds_keytab failed (Generic preauthentication failure)
 -- try_machine_keytab_princ: Authentication with keytab failed
 -- try_machine_keytab_princ: Trying to authenticate for srvwapt$ from local keytab...
 -- try_machine_keytab_princ: Error: krb5_get_init_creds_keytab failed (Generic preauthentication failure)
 -- try_machine_keytab_princ: Authentication with keytab failed
 -- try_machine_keytab_princ: Trying to authenticate for host/srvwapt.microtec-agora.lan from local keytab...
 -- try_machine_keytab_princ: Error: krb5_get_init_creds_keytab failed (Client not found in Kerberos database)
 -- try_machine_keytab_princ: Authentication with keytab failed
 -- try_machine_password: Trying to authenticate for srvwapt$ with password.
Es werden weiterhin Einträge in /etc/nginx/http-krb5.keytab erstellt... Da der Rest fehlerfrei abläuft.

Betreff: Konfiguration des WAPT-Servers mit Kerberos ohne Authentifizierung

Veröffentlicht: 27. Februar 2020 – 18:49 Uhr
von Sfonteneau
Das Ticket verkauft sich offensichtlich gut, da es in der K-Liste erscheint

Es wird jedoch offenbar von nginx abgelehnt.

Für mich ist 401 gleich 403, also gibt es keinen Unterschied.

Ist die krb5.conf-Datei des Servers korrekt? (Normalerweise sollte das keinen Einfluss haben, aber sicher ist sicher.)

Andernfalls könnte es sich um eine Zeitdifferenz zwischen dem wapt-Server und dem Client handeln.

Bei Kerberos beträgt die maximale Verzögerung 5 Minuten.

Zur korrekten Überprüfung: Server:

Python- oder WaptPython-Befehl unter Windows:

Code: Alle auswählen

Python 2.7.13 (default, Sep 26 2018, 18:42:22) 
[GCC 6.3.0 20170516] on linux2
Type "help", "copyright", "credits" or "license" for more information.
>>> import datetime
>>> datetime.datetime.utcnow()
datetime.datetime(2020, 2, 27, 17, 43, 21, 864084)


Dies ermöglicht es Ihnen, die Uhrzeit zu überprüfen, ohne Sommerzeit, Zeitzone usw. berücksichtigen zu müssen.

Ansonsten verstehe ich es nicht. Ich habe die Prozedur mit dem deb libnginx-mod-http-auth-spnego_1.14.2-2+deb10u1_amd64.deb nginx in Version 1.14 wiederholt, und es funktioniert einwandfrei.

Vielleicht eine Sonderkonferenz zum Thema Sicherheit auf AD-Ebene?

Ein weiteres mögliches Problem: Gibt es darüber hinaus eine Reverse-Proxy-Schicht?

Betreff: Konfiguration des WAPT-Servers mit Kerberos ohne Authentifizierung

Veröffentlicht: 4. März 2020 - 10:55 Uhr
von Sfonteneau
Hallo

, gibt es schon irgendwelche Fortschritte?

Betreff: Konfiguration des WAPT-Servers mit Kerberos ohne Authentifizierung

Veröffentlicht: 12. März 2020 – 14:27 Uhr
von RebeccaS
Hallo,

Entschuldigung für die verspätete Antwort.

Ich habe es heute Morgen noch einmal komplett neu versucht, aber es besteht weiterhin.

Schade, wir haben uns für diese Lösung zur Kerberos-Authentifizierung entschieden.

Trotzdem vielen Dank.
Zeitzone auf UTC+02:00
Seite 2 von 3

Entwickelt von phpBB®Forum Software © phpBB Limited

Offizielle französische Übersetzung © Qiaeru