Tenemos nuestro servidor WAPT Enterprise (actualizado) en producción en un servidor Ubuntu (también actualizado) desde hace más de un año.
Para obtener detalles de la versión:
WAPT 2.3.0.13516
Queríamos alejarnos de NTLM en nuestro dominio y utilizar solo Kerberos.Ubuntu 22.04.2 LTS
Por lo tanto, procedimos a configurar WAPT con Kerberos.
- Todas las configuraciones cumplen los requisitos previos (sección de instalación de Debian)
- Seguimos la documentación sobre "fortalecer la seguridad de su servidor WAPT" (excepto la parte del Firewall que implementaremos después de Kerberos).
Todo el proceso de "configuración y postconfiguración de Kerberos" se desarrolló sin problemas.
Sin embargo, ahora es imposible conectarse desde el centro de software WAPT.
Si sigo la documentación esto arroja:
- use_kerberos=True está habilitado correctamente tanto en el lado del cliente como en el del servidor
- El Keytab es bueno y se ajusta a lo que presenta la documentación
- El comando "kinit -k -t /etc/nginx/http-krb5.keytab srvwapt\$@AD.TRANQUIL.IT" efectivamente genera un ticket para el servidor (klist)
- En una PC cliente, utilizando la consola del sistema y el comando "wapt-get register", puedo registrar exitosamente el dispositivo:
Si ejecuto una prueba usando el comando Curl, obtengo un error: http/1.1 405 MÉTODO NO PERMITIDO:C:\windows\system32>wapt-get register
Usando el archivo de configuración: C:\Program Files (x86)\wapt\wapt-get.ini
Registrando el host en el servidor: https://srvwapt.toto.local
Host registrado correctamente en el servidor https://srvwapt.toto.local.
Si hago la prueba en Firefox como se mencionó una o dos veces en el foro, obtengo el mismo resultado (MÉTODO 405 NO PERMITIDO)> GET /add_host_kerberos HTTP/1.1
> Host: frscmwapt.scmlemans.com
> Authorization: Negotiate CLE_EFFACE
> User-Agent: curl/7.81.0
> Accept: */*
>
* TLSv1.2 (IN), encabezado TLS, datos suplementarios (23):
* Marcar el paquete como no compatible con multiuso
< HTTP/1.1 405 MÉTODO NO PERMITIDO
< Servidor: nginx
< Fecha: Mié, 22 Mar 2023 12:33:32 GMT
< Content-Type: text/html; charset=utf-8
< Content-Length: 178
< Connection: keep-alive
< WWW-Authenticate: Negotiate KEY_ERAS
< WWW-Authenticate: Basic realm=""
< Allow: OPTIONS, POST, HEAD
< Strict-Transport-Security: max-age=63072000
<
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 3.2 Final//EN">
<title>405 Method Not Allowed</title>
<h1>Method Not Allowed</h1>
<p>The method is not allowed for the requested URL.</p>
* La conexión n.° 0 con el host srvwapt.toto.local se mantuvo intacta.
Si solicito un ticket desde la PC de un usuario, me devuelve esto:
Finalmente, ningún usuario puede utilizar ahora el centro de software (lo que tiene sentido para mí ya que la solicitud de Kerberos falló)C:\windows\system32>klist get https://srvwapt.toto.local
LogonId es 0:0x3e7
Error al llamar a la API LsaCallAuthenticationPackage (subestado GetTicket): 0x6fb
klist falló con 0xc000018b/-1073741429: La base de datos SAM del servidor Windows no tiene una cuenta de equipo para la relación de confianza con esta estación de trabajo.
Sin embargo, la consola de administración todavía funciona (lo que tiene sentido ya que no utiliza Kerberos).
Perdón por el "muro de texto" y gracias por leer.
