Tipp: Ein SSO mit Kerberos Impersonation

Hier ein praktischer Tipp von Michael Wildgruber, der uns erklärt wie einfach man ein SSO mit Kerberos Impersonation realisiert:

Herausforderung:

SSO vom NetScaler zu einer Webanwendung, die ausschließlich Kerberos-Authentifizierung erlaubt.

Lösung:

Kerberos Impersonation

Implementierung:

o Dummy Kerberos Constrained Delegation (KCD) Account anlegen und als Realm die Domäne angeben. Dazu gibt‘s im AD gar keinen User!

add aaa kcdAccount kcdaccount1 -realmStr DOMAIN1.LOC

o KCD Account an Session Policy binden.

add tm sessionAction tm_sesact_sap_01 -SSO ON -kcdAccount kcdaccount1
add tm sessionPolicy tm_sespol_sap_01 ns_true tm_sesact_sap_01
bind authentication vserver tm_vs_sap_01 -policy tm_sespol_sap_01 -priority 100

o Im Prinzip war’s das, man muss nur noch ein paar Voraussetzungen erfüllen:

  • Server mit Hostnamen, nicht mit IP anlegen.
  • NTP Server anlegen, die Zeit muss stimmen.
  • Firewallfreischaltung zu den DC’s auf 88/TCP.
  • Die DNS-Server (hier die DC’s) nicht Load balancen sondern einzeln anlegen, sowohl auf UDP als auch auf TCP.

Hinweis:

Der hier beschriebene Weg funktioniert nur, wenn der NetScaler das Passwort des Users kennt. Andernfalls braucht man Kerberos Constrained Delegation (KCD). Im konkreten Anwendungsfall wurde am Frontend formbased authentifiziert (Anmeldemaske), darum kannte der NetScaler die User-Credentials.

Share on facebook
Facebook
Share on twitter
Twitter
Share on linkedin
LinkedIn
Share on whatsapp
WhatsApp

Blog-Post teilen

Share on facebook
Facebook
Share on twitter
Twitter
Share on linkedin
LinkedIn
Share on whatsapp
WhatsApp

Neueste Beiträge

Das könnte Sie auch interessieren