LOAD BALANCER NEWS

KEMP LoadMaster supportet Kerberos Constraint Delegation!

Lange wurde es gefordert, daß neben der Basic und Formsbased Authentication auch Kerberos Constraint Delegation in unserem LMOS supportet wird. Mit v7.1-20 wurde dies erfüllt und nun als zusätzliche Authentication Method eingeführt.

Um aber KCD einrichten zu können sind noch ein paar Schritte notwendig. Diese beschreibe ich hier:
Zuerst muss ein neuer User angelegt werden. Das ist ja nichts neues, sollte also relativ einfach erledigt sein. Dieser benötigt aber zusätzliche Rechte bzw. Attribute. Daher muss man das Active Directory „delegierungsfähig“ machen, da sonst der Reiter Delegierung fehlt.

Active Directory Delegation

Das macht man relativ einfach indem man einen Service Principal Name mit dem Wert http/kcd setzt. Man geht im Active Directory auf den User den man für die Delegation nutzen möchte und setzt unter ServicePrincipalname http/kcd. Dieser SPN darf nur ein Mal im Active Directory existieren! Mehrere Analysen haben das bewiesen und auch der angeblich notwendige A-Record ist hinfällig!

AD Attribut Editor

DelegationAls Ergebnis erhält man auf dem User Context den neuen Reiter Delegierung und konfiguriert dort dann die Server die für Delegierung verwendet werden sollen.
Wichtig ist „beliebiges Authentizierungsprotokoll zu wählen, da Kerberos nur MS Kerberos ist und unser LM natürlich kein MS Kerberos sondern Kerberos-V5 erstellt/verwendet.

 

 

 

 

 

 

 

Beim Hinzufügen der Server muss der Diensttyp auf http ausgewählt werden.

Delegation2Danach muss der verwendete Active Directory User einen “korrekten” UPN” und “SamAccountName” erhalten.

 

 

 

 

 

 

 

 

 

user2Dieser sieht wie folgt aus (mein User war kcd)

 

 

 

 

 

Abschließend konfiguriert man noch die Outbound Configuration mit den richtigen Daten und WICHTIG! Der Trusted UserName ist der ganz normale UserName (in meinem Fall kcd)

 

 

 

Und fertig ist unsere KCD Konfiguration!
Ich wünsche Euch viel Erfolg und Freude bei nun auch KCD als Authentication Method.

 

Tags:

Related.Posts

Comments are closed.