[GELÖST] Kerberos-Problem

James · 18. September 2018 – 16:49 Uhr

WAPT 1.3.13
Debian 8
Win 7 & 10
-----------------------
Hallo,
ich habe ein Test-Update von 1.3.13 auf 1.5 durchgeführt. Es funktioniert einwandfrei. Aus Sicherheitsgründen möchte ich Kerberos aktivieren, erhalte aber folgende Fehlermeldung:
FATAL ERROR: EWaptBadServerAuthentication: Authentication failed on server https://....

Ich habe diesen Thread bereits gesehen, aber mein DNS-SRV-Eintrag ist in Ordnung: viewtopic.php?t=1060.
Wann sollte ich Kerberos aktivieren? Ist es besser, dies während der ersten Ausführung von postconf.sh oder später zu tun?
Funktioniert es unter Debian 9? Vielleicht eine dumme Frage, aber wie lauten Benutzername und Passwort für apt-get register?
Vielen Dank.

19. September 2018 - 09:14 Uhr

Wenn Sie Kerberos auf dem Server aktivieren, müssen WAPT-Agenten versuchen, sich mit einem Kerberos-Ticket zu registrieren.

Dafür muss der Agent in seiner Konfiguration die Einstellung `use_kerberos = 1` haben

(https://www.wapt.fr/fr/doc/Configuratio ... rveur-wapt).

Beim Generieren eines Agenten über die Konsole wird diese Funktion in der Datei `waptagent.exe` durch das Kontrollkästchen „Kerberos für die Erstregistrierung verwenden“ aktiviert.

James · 19. September 2018 – 16:06 Uhr

Ja, ich habe die Server- und Client-Konfigurationsdateien bereits geprüft und den Agenten erfolgreich generiert.
Ich habe neu installiert und bin schließlich auf Debian 9.5 umgestiegen. Nun

erhalte ich folgenden Fehler:
`wapt-get register -S
.... HTTPError: 403 Error: FORbidden for url: https://...../add_host_kerberos`.

Liegt das an einem Konfigurationsproblem mit nginx?

19. September 2018 – 22:54 Uhr

Tatsächlich ist die Situation nach der Konferenz momentan nicht sehr sauber.

Sie müssen postconf mit der Option --use-kerberos starten

Code: Alle auswählen

/opt/wapt/waptserver/scripts/postconf.sh --use-kerberos

Andernfalls ist die nginx-Konfiguration tatsächlich nicht für Kerberos geeignet

James · 20. September 2018 - 11:46 Uhr

Die Kerberos-Authentifizierung funktioniert bei mir überhaupt nicht.
Ich bin der Dokumentation Schritt für Schritt gefolgt:
https://www.wapt.fr/fr/doc/Installation ... ebian.html (Ad Microsoft W2016)

Test 1:
Test auf einem Client, der in der Active Directory-Verwaltung (Computer) registriert ist (use_kerberos = 1 auf dem Client – use_kerberos = True, allow_unauthentificated_registration = False auf dem Server):
wapt-get register -S
waptservice Benutzer: (admin local)
Passwort: ***
HTTPError: 403 Fehler: Zugriff verboten für URL: https://wapt.0861234a.lan//add_host_kerberos

Test 2:
Test auf einem Client, der in der Active Directory-Verwaltung (Computer) registriert ist (use_kerberos = 0 auf dem Client – use_kerberos = True, allow_unauthentificated_registration = False auf dem Server):
wapt-get register -S
waptservice Benutzer: (admin local)
Passwort: ***
EWaptBadServerAuthentication: Authentifizierung auf Server https://wapt.0861234a.lan für Aktion add_host

. Test 3:
Test auf einem Client, der in der Active Directory-Domäne (Computer) referenziert ist (use_kerberos = 0 auf dem Client - use_kerberos = True, allow_unauthentificated_registration = True auf dem Server):
wapt-get register -S
waptservice Benutzer: (admin local)
Passwort: ***
Das Inventar wurde an den WAPT-Server gesendet (der Rechner wird in der Konsole korrekt angezeigt).

/var/log/nginx/error.log:
[error] *640 open() "/var/www/wapt-host/676.....wapt" fehlgeschlagen (2: Datei oder Verzeichnis nicht gefunden), Client: IP, Server: _, Anfrage: "GET ...

Clientkonfiguration:
[global]
repo_url=https://wapt.0861234a.lan/wapt
send-usage_report=1
use_hostpackages=1
wapt_server=https://wapt.0861234a.lan
use_kerberos=1
check_certificates_validity=1
verify_cert=0
dnsdomain=
max_gpo_script_wait=180
pre_shutdown_timeout=180
hibertboot_enabled=0

Serverkonfiguration: /opt/wapt/conf/waptserver.ini
[uwsqi]
http-socket = 127.0.0.1:8080
master = true
processes = 16
wsqi = waptserver:app
chdir = /opt/wapt/waptserver/
max-requests = 100
uid = wapt
gid = www-data
enable-threads = true

[options]
wapt_user = admin
wapt-password = ...
wapt-folder = /var/www/wapt
server_uuid = ...
waptwua_folder = /var/www/waptwua
allow_unauthentificated_registration = False
secret_key = ...
use_kerberos = True

20. September 2018 – 15:43 Uhr

Angesichts der Fehlermeldung

Code: Alle auswählen

HTTPError : 403 Error : FOrbidden for url : https://wapt.0861234a.lan//add_host_kerberos

Die nginx-Konfiguration ist fehlerhaft
add_host_kerberos gibt den Fehlercode 403 zurück, wenn --use-kerberos nicht als Option angegeben wird (ich habe gerade eine Korrektur vorgenommen, um die Postkonfiguration übersichtlicher zu gestalten)

Überprüfen Sie Ihre nginx-Konfiguration

falls dies in /etc/nginx/sites-enabled/wapt.conf vorhanden ist:

Code: Alle auswählen

        location /add_host_kerberos {
            return 403;
        }

Die Postkonfiguration wurde also nicht korrekt angewendet

James · 20. September 2018 – 17:02 Uhr

Okay, ich habe den Befehl
`/opt/wapt/waptserver/scripts/postconf.sh --use-kerberos` erneut
, und er ändert den Inhalt von `/add_host_kerberos` in `/etc/nginx/sites-enabled/wapt.conf`.

Ich habe jetzt Folgendes: `
location /add_host_kerberos {
auth_gss on;
auth_gss_keytab /etc/nginx/http-krb5.keytab;
proxy_pass http://127.0.0.1:8080;
}`.

Es funktioniert aber immer noch nicht... Ich erhalte wieder die Fehlermeldung:
`EWaptBadServerAuthentication: Authentication failed on server https://wapt.0861234a.lan/ for action add_host_kerberos...`.

Nur um sicherzugehen: Der für die Registrierung angeforderte WaptService-Benutzer ist tatsächlich ein lokales Administratorkonto, das angegeben werden muss? Ich habe es mit dem Domänenadministrator versucht, aber es ist dasselbe.

Ich erhalte weiterhin diese Fehlermeldung:
/var/log/nginx/error.log:
[error] *640 open() "/var/www/wapt-host/676.....wapt" failed (2: No such file or directory), client: IP, server: _, request: "GET ...

---
Kinit funktioniert einwandfrei... klist auch... msktutil OK - Berechtigungen OK.
Wir sind uns einig, dass wir den Inhalt der Datei /etc/krb5.conf löschen und Folgendes hinzufügen sollten:
[libdefaults]
default_realm = MYDOMAIN.LAN
dns_lookup_kdc = true
dns_lookup_realm=false.

Nur eine Sache: Die Meldung "Zur Überprüfung sollte der Befehl echo $(hostname) in der Kommandozeile die DNS-Adresse zurückgeben, die die WAPT-Agenten verwenden."
gibt nur den Rechnernamen zurück, nämlich wapt. Ist das normal?

DANKE

20. September 2018 – 23:37 Uhr

James schrieb: ↑20. Sep. 2018 - 17:02 Uhr Nur eine Frage: Der Befehl „Zur Überprüfung sollte der Befehl echo $(hostname) die DNS-Adresse zurückgeben, die die WAPT-Agenten verwenden werden.“
gibt nur den Rechnernamen zurück, nämlich wapt. Ist das normal?

NEIN
Wie die Dokumentation zeigt "echo $(hostname) sollte die DNS-Adresse zurückgeben, die die WAPT-Agenten verwenden werden."

Andernfalls wird Ihr Dienstprinzipalname nicht korrekt in der Anzeige registriert.

* Entfernen Sie das Maschinenkonto vom WAP-Server in der AD
* Löschen Sie das Ticket /etc/nginx/http-krb5.keytab

Starten Sie nun den Vorgang von vorn mit einem vollqualifizierten Domänennamen (FQDN) in Ihrer Datei /etc/hostname neu

James · 25. September 2018 – 13:59 Uhr

Ja, das Problem lag tatsächlich am Hostnamen.
Eine letzte Frage: Wie registriere ich jetzt einen Rechner außerhalb von Active Directory? Vielen Dank.

25. September 2018 – 20:01 Uhr

Hallo James,

James schrieb: ↑25. Sep. 2018 - 13:59 Uhr Tatsächlich lag das Problem am Hostnamen...
Eine letzte Frage: Wie registriere ich jetzt einen Rechner außerhalb von Active Directory? Danke

Es wird empfohlen, für jedes neue Thema ein neues zu eröffnen. Ich schließe dieses Thema als gelöst.

Aufrichtig,

Denis