Hier ein praktischer Tipp von Michael Wildgruber, der uns erklärt wie einfach man ein SSO mit Kerberos Impersonation realisiert:
Herausforderung:
SSO vom NetScaler zu einer Webanwendung, die ausschließlich Kerberos-Authentifizierung erlaubt.
Lösung:
Kerberos Impersonation
Implementierung:
o Dummy Kerberos Constrained Delegation (KCD) Account anlegen und als Realm die Domäne angeben. Dazu gibt‘s im AD gar keinen User!
add aaa kcdAccount kcdaccount1 -realmStr DOMAIN1.LOC
o KCD Account an Session Policy binden.
add tm sessionAction tm_sesact_sap_01 -SSO ON -kcdAccount kcdaccount1 add tm sessionPolicy tm_sespol_sap_01 ns_true tm_sesact_sap_01 bind authentication vserver tm_vs_sap_01 -policy tm_sespol_sap_01 -priority 100
o Im Prinzip war’s das, man muss nur noch ein paar Voraussetzungen erfüllen:
- Server mit Hostnamen, nicht mit IP anlegen.
- NTP Server anlegen, die Zeit muss stimmen.
- Firewallfreischaltung zu den DC’s auf 88/TCP.
- Die DNS-Server (hier die DC’s) nicht Load balancen sondern einzeln anlegen, sowohl auf UDP als auch auf TCP.
Hinweis:
Der hier beschriebene Weg funktioniert nur, wenn der NetScaler das Passwort des Users kennt. Andernfalls braucht man Kerberos Constrained Delegation (KCD). Im konkreten Anwendungsfall wurde am Frontend formbased authentifiziert (Anmeldemaske), darum kannte der NetScaler die User-Credentials.
