Si un sitio alojado en IIS está protegido mediante Kerberos, ¿se pueden conectar máquinas Linux?

tag-icon tag-icon active-directory windows-server-2008-r2 iis-7 kerberos
Si un sitio alojado en IIS está protegido mediante Kerberos, ¿se pueden conectar máquinas Linux?

Tengo un problema al configurar mi sitio web IIS 7.0 en un entorno de prueba con Kerberos. Tengo una versión de prueba de Windows Server 2008 R2 con las funciones AD DS, AD RMS, DHCP, DNS e IIS instaladas. Entré en la configuración de seguridad de IIS para el sitio y configuré la autenticación de Windows para permitir el inicio de sesión con Kerberos.

El problema con el que me encuentro es que no utiliza Kerberos de forma rutinaria como protocolo de seguridad. Cuando configuro proveedores en IIS para "Negociar", Fiddler2 indica que el encabezado devolverá un encabezado NTLM el 50% del tiempo y un encabezado Kerberos el otro 50% del tiempo. Si, en cambio, configuro el proveedor como "Negociar: Kerberos" en IIS, no puedo acceder al sitio en absoluto, ya que informa inmediatamente un error 401. Además, cualquier intento de conectarse al sitio en cualquier configuración utilizando una máquina Linux apunta inmediatamente a un error de seguridad 401.

¿Alguien puede proporcionar algunas ideas o guías sobre cómo configurar esto? Necesito específicamente bloquear cualquier respaldo a NTLM además de habilitar Kerberos independientemente de la máquina a la que me conecte. Hasta ahora, no he encontrado ningún artículo sobre technet o serverfault que aborde completamente este problema.

Respuesta1

En Firefox necesitarás configurarlo para usar Kerberos en about:confignetwork.negotiate-auth.trusted-urisynetwork.negotiate-auth.delegation-uris.

Para Chrome/cromo pruebanavegador-chromium –auth-server-whitelist=”empresa.com”

Respuesta2

Si desea configurar un servicio/aplicación de Linux para autenticarse en un punto final de servicio IIS, puede obtener el cuadro de Linux para autenticarse en un sitio de Windows alojado en IIS como este:

  1. Asegúrese de que la autenticación de Windows de su sitio IISproveedoresse configuran en este orden para la autenticación de Windows:
    • NTLM
    • Negociar
  2. Cree un Principal para la cuenta que desea autenticar como:
    • Inicie sesión en un servidor Windows en el dominio con herramientas Kerberos (normalmente un servidor AD)
    • Registrar un nombre principal de servicio(SPN)contra la cuenta en la que desea autenticarse y, al mismo tiempo, generar un archivo de tabla de claves Kerberos:
      • Usarktpasspara generar una tabla de claves para Linux
      • ktpass -princ HTTP/[email protected] -ptype KRB5_NT_PRINCIPAL -mapuser myuser -pass mypassword -out c:\user.keytab
      • Nota: es importante que la URL myiis.site.comcoincida con el punto final al que accederá; y eso SITE.COMcoincide con tuComponente de dominio.
    • Puedes consultar tu SPN consetspn -L myuser
    • En este punto, ya tiene un SPN asignado a un usuario de AD; y un archivo de tabla de claves de Kerberos para Linux para obtener un ticket de Kerberos emitido por el KDC (servidor AD) para la autenticación mediante el proveedor Negotiate.
  3. Importe su tabla de claves al cuadro/aplicación de Linux según el tipo de Kerberos. Para ver la credencial en la tabla de claves:
    • MITKerberos
      • klist -c -k user.keytab
    • HeimdalKerberos (suponiendo que haya copiado la tabla de claves en/etc/heimdal/krb5.keytab
      • ktutil list

información relacionada