Se um site hospedado pelo IIS for protegido usando Kerberos, as máquinas Linux poderão se conectar a ele?

tag-icon tag-icon active-directory windows-server-2008-r2 iis-7 kerberos
Se um site hospedado pelo IIS for protegido usando Kerberos, as máquinas Linux poderão se conectar a ele?

Estou com problemas ao configurar meu site IIS 7.0 em um ambiente de teste com Kerberos. Tenho uma versão de avaliação do Windows Server 2008 R2 com funções AD DS, AD RMS, DHCP, DNS e IIS instaladas. Entrei nas configurações de segurança do IIS para o site e configurei a autenticação do Windows para permitir o login do Kerberos.

O problema que estou enfrentando é que ele não usa Kerberos rotineiramente como protocolo de segurança. Quando defino os provedores no IIS como "Negociar", o Fiddler2 indica que o cabeçalho retornará um cabeçalho NTLM em 50% das vezes e um cabeçalho Kerberos nos outros 50% das vezes. Se, em vez disso, eu definir o provedor como "Negotiate:Kerberos" no IIS, não consigo acessar o site, pois ele relata imediatamente um erro 401. Além disso, qualquer tentativa de conexão ao site em qualquer configuração usando uma máquina Linux aponta imediatamente para um erro de segurança 401.

Alguém pode fornecer alguns insights ou guias sobre como configurar isso? Preciso especificamente bloquear qualquer substituto para NTLM, além de ativar o Kerberos, independentemente da máquina à qual me conecto. Até agora, não encontrei nenhum artigo sobre technet ou serverfault que abordasse totalmente esse problema.

Responder1

No Firefox você precisará configurá-lo para usar o Kerberos em about:configrede.negotiate-auth.trusted-uriserede.negotiate-auth.delegation-uris.

Para Chrome/cromo, tentenavegador chromium –auth-server-whitelist=”empresa.com”

Responder2

Se você deseja configurar um serviço/aplicativo Linux para autenticar em um terminal de serviço IIS, você pode fazer com que a caixa Linux se autentique em um site Windows hospedado pelo IIS como este:

  1. Garanta a autenticação do Windows do seu site IISprovedoressão definidos nesta ordem para Windows Auth:
    • NTLM
    • Negociar
  2. Crie um Principal para a conta que você deseja autenticar como:
    • Faça login em um servidor Windows no domínio com ferramentas Kerberos (geralmente um servidor AD)
    • Registrar um nome principal de serviço(SPN)na conta que você deseja autenticar e, ao mesmo tempo, gerar um arquivo keytab Kerberos:
      • Usarktpasspara gerar um keytab para Linux
      • ktpass -princ HTTP/[email protected] -ptype KRB5_NT_PRINCIPAL -mapuser myuser -pass mypassword -out c:\user.keytab
      • Observação: é importante que o URL myiis.site.comcorresponda ao endpoint que você atingirá; e isso SITE.COMcorresponde ao seuComponente de domínio.
    • Você pode verificar seu SPN comsetspn -L myuser
    • Neste ponto você tem agora um SPN mapeado para um usuário AD; e um arquivo keytab Kerberos para Linux para obter um ticket Kerberos emitido pelo KDC (AD Server) para autenticação usando o provedor Negotiate.
  3. Importe seu keytab para a caixa/aplicativo Linux dependendo do tipo de Kerberos. Para visualizar a credencial no keytab:
    • MITCérbero
      • klist -c -k user.keytab
    • HeimdalKerberos (supondo que você copiou o keytab para/etc/heimdal/krb5.keytab
      • ktutil list

informação relacionada