Configuración del servidor WAPT con Kerberos sin necesidad de autenticación

[Rebecca S]

Sí, el billete está aquí.

Código: Seleccionar todo

C:\Windows\system32>klist

LogonId est 0:0x3e7

Tickets mis en cache : (14)

#0>     Client :  client$ @ MYDOMAIN.LAN
        Serveur : krbtgt/MYDOMAIN.LAN @ MYDOMAIN.LAN
        Type de chiffrement KerbTicket : AES-256-CTS-HMAC-SHA1-96
        Indicateurs de tickets 0x60a10000 -> forwardable forwarded renewable pre_authent name_canonicalize
        Heure de démarrage : 2/25/2020 0:14:35 (Local)
        Heure de fin :   2/25/2020 10:14:25 (Local)
        Heure de renouvellement : 3/3/2020 0:14:25 (Local)
        Type de clé de session : AES-256-CTS-HMAC-SHA1-96
        Indicateurs de cache : 0x2 -> DELEGATION
        KDC appelé : srvrodc.MYDOMAIN.LAN

#7>     Client :  client$ @ MYDOMAIN.LAN
        Serveur : HTTP/srvwapt.MYDOMAIN.LAN @ MYDOMAIN.LAN
        Type de chiffrement KerbTicket : AES-256-CTS-HMAC-SHA1-96
        Indicateurs de tickets 0x40a10000 -> forwardable renewable pre_authent name_canonicalize
        Heure de démarrage : 2/25/2020 0:14:45 (Local)
        Heure de fin :   2/25/2020 10:14:25 (Local)
        Heure de renouvellement : 3/3/2020 0:14:25 (Local)
        Type de clé de session : AES-256-CTS-HMAC-SHA1-96
        Indicateurs de cache : 0
        KDC appelé : srvrodc.MYDOMAIN.LAN

[Sfonteneau]

¿También tienes un servidor Rodc o simplemente usaste mi ejemplo?

[Rebecca S]

No, solo copié esa parte, pero es un DC estándar.

[Sfonteneau]

Entonces, ¿el tipo de cifrado de KerbTicket es AES-256-CTS-HMAC-SHA1-96?

Lo mismo ocurre con la clave de sesión (por lo que no sé qué se copió...)

De lo contrario, haremos una prueba sin usar wapt:

¿Puedes configurar Firefox para la autenticación Kerberos?
https://docs.oracle.com/cd/E41633_01/pt...36673.html

Y sigue navegando:
https://srvwapt.midominio.lan/add_host_kerberos

Si la autenticación Kerberos tiene éxito, el mensaje será:

Código: Seleccionar todo

Method Not Allowed

The method is not allowed for the requested URL.

Por el contrario, si la autenticación falla, el mensaje será un 401 (solicitud de autenticación)

[Rebecca S]

Sí, es correcto; la clave de cifrado y la clave de sesión no se han modificado.

Volví a ejecutar los comandos esta mañana (he resaltado los cambios en rojo).

C:\Windows\system32>wapt-get register
Usando el archivo de configuración: C:\Program Files (x86)\wapt\wapt-get.ini
Registrando el host contra el servidor: https://srvwapt.mydomain.lan
Controles de energía del sistema
ERROR FATAL: HTTPError: 403 Error del cliente: Prohibido para la URL: https://srvwapt.mydomain.lan/add_host_kerberos

C:\Windows\system32>
C:\Windows\system32>klist

LogonId es 0:0x3e7

Tickets en caché: (15)

#0> Cliente: client$ @ MYDOMAIN.LAN
Servidor: krbtgt/MYDOMAIN.LAN @ MYDOMAIN.LAN
Tipo de cifrado de KerbTicket: AES-256-CTS-HMAC-SHA1-96
Indicadores de ticket 0x60a10000 -> reenviable reenviado renovable pre_autenticación nombre_canonicalizar
Hora de inicio: 27/2/2020 7:52:02 (Local)
Hora de finalización: 27/2/2020 17:52:01 (Local)
Hora de renovación: 5/3/2020 7:52:01 (Local)
Tipo de clave de sesión: AES-256-CTS-HMAC-SHA1-96
Indicadores de caché: 0x2 ->
Delegación KDC llamada: SRVDC.MYDOMAIN.LAN

#1> Cliente: client$ @ MYDOMAIN.LAN
Servidor: krbtgt/MYDOMAIN.LAN @ MYDOMAIN.LAN
Tipo de cifrado de KerbTicket: AES-256-CTS-HMAC-SHA1-96
Indicadores de ticket 0x40e10000 -> reenviable renovable inicial pre_autenticación nombre_canonicalizar
Hora de inicio: 27/2/2020 7:52:01 (Local)
Hora de finalización: 27/2/2020 17:52:01 (Local)
Hora de renovación: 5/3/2020 7:52:01 (Local)
Tipo de clave de sesión: AES-256-CTS-HMAC-SHA1-96
Indicadores de caché: 0x1 ->
KDC PRIMARIO llamado: SRVDC.MYDOMAIN.LAN

#2> Cliente: client$ @ MYDOMAIN.LAN
Servidor: HTTP/srvwapt.mydomain.lan @ MYDOMAIN.LAN
Tipo de cifrado de KerbTicket: AES-256-CTS-HMAC-SHA1-96
Indicadores de ticket 0x40a10000 -> reenviable renovable pre_autenticación nombre_canonicalizar
Hora de inicio: 27/2/2020 8:02:38 (Local)
Hora de finalización: 27/2/2020 17:52:01 (Local)
Hora de renovación: 3/5/2020 7:52:01 (Local)
Tipo de clave de sesión: AES-256-CTS-HMAC-SHA1-96
Indicadores de caché: 0
KDC llamado: SRVDC.MYDOMAIN.LAN


Resultados de la prueba:

[Sfonteneau]

Después de configurar la autenticación Kerberos en Firefox, ¿tienes un ticket en la lista de permisos (en el entorno de usuario, no en psexe)?


Si es así, la parte de Python de WAPT no es el problema (dado el mensaje 401).

Podrías intentar desinstalar libnginx-mod-http-auth-spnego y reinstalarlo con este paquete .deb:
https://wapt.tranquil.it/debian/wapt-1. ... _amd64.deb

Simon

[Rebecca S]

Después de configurar la autenticación Kerberos en Firefox:

H:\>lista de k

El ID de inicio de sesión es 0:0x7ddc0

Tickets en caché: (2)

#0> Cliente: usuario @ MIDOMINIO.LAN
Servidor: krbtgt/MIDOMINIO.LAN @ MIDOMINIO.LAN
Tipo de cifrado KerbTicket: AES-256-CTS-HMAC-SHA1-96
Banderas de tickets 0x40e10000 -> reenviable renovable inicial pre_authent name_canonicalize
Hora de inicio: 27/02/2020 14:33:53 (local)
Hora de finalización: 28/02/2020 0:33:53 (local)
Hora de renovación: 05/03/2020 14:33:53 (local)
Tipo de clave de sesión: AES-256-CTS-HMAC-SHA1-96
Indicadores de caché: 0x1 -> PRIMARY
KDC llamado: SRVDC.MIDOMINIO.LAN

#1> Cliente: usuario @ MIODOMINIO.LAN
Servidor: HTTP/srvwapt.MIDOMINIO.LAN @ MIODOMINIO.LAN
Tipo de cifrado KerbTicket: AES-256-CTS-HMAC-SHA1-96
Banderas de tickets 0x40a10000 -> reenviable renovable pre_authent name_canonicalize
Hora de inicio: 27/02/2020 14:33:53 (local)
Hora de finalización: 28/02/2020 0:33:53 (local)
Hora de renovación: 05/03/2020 14:33:53 (local)
Tipo de clave de sesión: AES-256-CTS-HMAC-SHA1-96
Indicadores de caché: 0
KDC llamado: SRVDC.MIDOMINIO.LAN



Intenté reinstalar el archivo deb, pero es el mismo...


Sin embargo, tengo una pregunta:

Al configurar el servidor Firefox, ¿es obligatorio incluir mi nombre de dominio? ¿Qué importa si no lo hago?
Porque no es el mismo error si no incluyo mi nombre de dominio.

Si ingreso mi nombre de dominio, obtengo un error 403:

2020-02-27 14_34_21-403 Prohibido.png (7,55 KB) Visto 11428 veces

Si no incluyo mi nombre de dominio, obtengo un error 401:

2020-02-27 14_36_49-401 Se requiere autorización.png (9,9 KB) Visto 11428 veces

Tengo la impresión de que el problema ocurre cuando ejecuto este comando

Código: Seleccionar todo

msktutil --server DOMAIN_CONTROLER --auto-update --keytab /etc/nginx/http-krb5.keytab --host $(hostname) -N

Usando un verbose - - obtengo esto:

Código: Seleccionar todo

root@srvwapt:/home/wapt# msktutil --server srvdc --auto-update --keytab /etc/nginx/http-krb5.keytab --host $(home) -N --verbose
 -- init_password: Wiping the computer password structure
 -- generate_new_password: Generating a new, random password for the computer account
 -- generate_new_password:  Characters read from /dev/urandom = 91
 -- create_fake_krb5_conf: Created a fake krb5.conf file: /tmp/.msktkrb5.conf-qimnoe
 -- reload: Reloading Kerberos Context
 -- get_short_hostname: Determined short hostname: srvwapt
 -- finalize_exec: SAM Account Name is: srvwapt$
 -- try_machine_keytab_princ: Trying to authenticate for srvwapt$ from local keytab...
 -- try_machine_keytab_princ: Error: krb5_get_init_creds_keytab failed (Generic preauthentication failure)
 -- try_machine_keytab_princ: Authentication with keytab failed
 -- try_machine_keytab_princ: Trying to authenticate for srvwapt$ from local keytab...
 -- try_machine_keytab_princ: Error: krb5_get_init_creds_keytab failed (Generic preauthentication failure)
 -- try_machine_keytab_princ: Authentication with keytab failed
 -- try_machine_keytab_princ: Trying to authenticate for host/srvwapt.microtec-agora.lan from local keytab...
 -- try_machine_keytab_princ: Error: krb5_get_init_creds_keytab failed (Client not found in Kerberos database)
 -- try_machine_keytab_princ: Authentication with keytab failed
 -- try_machine_password: Trying to authenticate for srvwapt$ with password.

Todavía hace las entradas en /etc/nginx/http-krb5.keytab... Ya que el resto procede sin errores.

[Sfonteneau]

La entrada claramente se está vendiendo bien ya que aparece en la lista de compras

Sin embargo, aparentemente nginx lo rechaza.

Para mí, 401 = 403, así que no hay diferencia.

¿Es correcto el archivo krb5.conf del servidor? (normalmente no debería tener impacto, pero por si acaso)

De lo contrario, podría haber una diferencia horaria entre el servidor wapt y el cliente.

En Kerberos, el retraso máximo es de 5 minutos.

Para verificar correctamente, servidor:

Comando Python o WaptPython en Windows:

Código: Seleccionar todo

Python 2.7.13 (default, Sep 26 2018, 18:42:22) 
[GCC 6.3.0 20170516] on linux2
Type "help", "copyright", "credits" or "license" for more information.
>>> import datetime
>>> datetime.datetime.utcnow()
datetime.datetime(2020, 2, 27, 17, 43, 21, 864084)

Esto le permite verificar la hora sin tener en cuenta el horario de verano, la zona horaria, etc.

De lo contrario no entiendo, rehice el procedimiento con el deb libnginx-mod-http-auth-spnego_1.14.2-2+deb10u1_amd64.deb nginx en 1.14 y funciona bien.

¿Quizás una conferencia especial sobre seguridad a nivel AD?

Otro posible problema: ¿hay una capa de proxy inverso encima?

[Sfonteneau]

Hola

, ¿has avanzado algo?

[Rebecca S]

Hola,

disculpen la demora en la respuesta...

Lo intenté de nuevo desde cero esta mañana, pero sigue igual...

Es una lástima, elegimos esta solución para la autenticación Kerberos...

Gracias de todos modos.