Hier ein praktischer Tipp von Michael Wildgruber, der uns erklärt wie einfach man ein SSO mit Kerberos Impersonation realisiert:
SSO vom NetScaler zu einer Webanwendung, die ausschließlich Kerberos-Authentifizierung erlaubt.
Kerberos Impersonation
o Dummy Kerberos Constrained Delegation (KCD) Account anlegen und als Realm die Domäne angeben. Dazu gibt‘s im AD gar keinen User!
add aaa kcdAccount kcdaccount1 -realmStr DOMAIN1.LOC
o KCD Account an Session Policy binden.
add tm sessionAction tm_sesact_sap_01 -SSO ON -kcdAccount kcdaccount1 add tm sessionPolicy tm_sespol_sap_01 ns_true tm_sesact_sap_01 bind authentication vserver tm_vs_sap_01 -policy tm_sespol_sap_01 -priority 100
o Im Prinzip war’s das, man muss nur noch ein paar Voraussetzungen erfüllen: