Skip to content

Setup: NetScaler Kerberos Impersonation

by Sascha Frantzke on April 15th, 2016

Unser Einstieg in die praktische Kerberos-Umsetzung ist die Kerberos Impersonation. Wie schon in den theoretischen Grundlagen erklärt haben wir hier eine deutlich geringere Komplexität und können so deutlich schneller erste Erfolge messen. Dafür sind wir immer abhängig vom Passwort des zu authentifizierenden Benutzers. Kerberos Impersonation können wir also nur einsetzen, wenn der Anwender sich per Benutzername und Passwort anmeldet!

Die Konfiguration für Kerberos Impersonation ist denkbar einfach und basiert auf drei kleinen Schritten:

  • Freischaltung der benötigten Firewall Ports
  • Setup DNS Namensauflösung
  • Setup der Kerberos Impersonation Session Policies

Freischaltung der benötigten Firewall Ports

  • für die Kerberos Kommunikation müssen alle Domänen Controller per TCP/88  erreichbar sein
  • für die DNS Auflösung der Domänen Controller mit Kerberos Key Distribution Rolle benötigen wir die DNS Auflösung per UDP/53 und TCP/53.
  • für die weitere Bereitstellung des Webservices reicht die gewohnte Anbindung in Backend (z.B. TCP/80)

Setup DNS Namensauflösung

Üblicherweise realisiere ich die DNS Namensauflösung meiner NetScaler Installationen immer über einen eigenen Loadbalancing vServer. Für die benötigte UDP und TCP Auflösung müssen wir aber klassisch einzelne DNS Server eintragen.

ConsultingLounge_Kerb160415133659

Setup der Kerberos Impersonation Session Policies

Das SingleSignOn (SSO) per Kerberos Impersonation kann im Rahmen einer Session oder Traffic Policy aufgerufen werden. In unserem Beispiel nutzen wir hier eine Session Policy und wählen dann im Rahmen des Session Profiles nur den gewünschten KCD Account aus.

ConsultingLounge_Kerb160415134804

Und auch das Setup des KCD Account ist wirklich sehr überschaubar. Einzig der Name der Active Directory Domäne muss hier als Realm konfiguriert werden.

ConsultingLounge_Kerb160415134754

Validierung

Zur Überprüfung des Kerberos Setup empfiehlt sich wieder der Einsatz von Wireshark

Viel Spaß!

 

Comments are closed.