ADC

Single Sign-On konfigurieren

Das Konfigurieren von NetScaler Single Sign-On (SSO) für die Authentifizierung durch Identitätswechsel ist einfacher als die Konfiguration von SSO für die Authentifizierung durch Delegierung und ist daher vorzuziehen, wenn Ihre Konfiguration dies zulässt. Sie erstellen ein KCD-Konto. Sie können das Kennwort des Benutzers verwenden.

Wenn Sie das Kennwort des Benutzers nicht haben, können Sie NetScaler SSO so konfigurieren, dass es sich durch Delegierung authentifiziert. Obwohl die Delegierungsmethode komplexer ist als die Konfiguration von SSO für die Authentifizierung durch Identitätswechsel, bietet sie Flexibilität, da die Anmeldeinformationen eines Benutzers möglicherweise nicht unter allen Umständen für die NetScaler-Appliance verfügbar sind.

Für Identitätswechsel oder Delegierung müssen Sie auch die integrierte Authentifizierung auf dem Webanwendungsserver aktivieren.

Integrierte Authentifizierung auf dem Webanwendungsserver aktivieren

Um NetScaler Kerberos SSO auf jedem Webanwendungsserver einzurichten, den Kerberos SSO verwaltet, verwenden Sie die Konfigurationsoberfläche auf diesem Server, um den Server so zu konfigurieren, dass eine Authentifizierung erforderlich ist. Wählen Sie die Kerberos-Authentifizierung (Aushandeln) nach Präferenz aus, mit Fallback auf NTLM für Clients, die Kerberos nicht unterstützen.

Im Folgenden finden Sie Anweisungen zum Konfigurieren des Microsoft Internet Information Server (IIS), sodass eine Authentifizierung erforderlich ist. Wenn Ihr Webanwendungsserver eine andere Software als IIS verwendet, finden Sie Anweisungen in der Dokumentation zu dieser Webserver-Software.

So konfigurieren Sie Microsoft IIS für die Verwendung der integrierten Authentifizierung

  1. Melden Sie sich beim IIS-Server an und öffnen Sie Internet Information Services Manager.
  2. Wählen Sie die Website aus, für die Sie die integrierte Authentifizierung aktivieren möchten. Um die integrierte Authentifizierung für alle von IISM verwalteten IIS-Webserver zu aktivieren, konfigurieren Sie die Authentifizierungseinstellungen für die Standardwebsite. Um die integrierte Authentifizierung für einzelne Dienste (wie Exchange, Exadmin, ExchWeb und Public) zu ermöglichen, konfigurieren Sie diese Authentifizierungseinstellungen für jeden Dienst einzeln.
  3. Öffnen Sie das Eigenschaften-Dialogfeld für die Standardwebsite oder für den einzelnen Dienst, und klicken Sie auf die Registerkarte Verzeichnissicherheit .
  4. Wählen Sie neben Authentifizierung und Zugriffssteuerungdie Option Bearbeiten aus.
  5. Deaktivieren Sie den anonymen Zugriff.
  6. Aktivieren Sie die integrierte Windows-Authentifizierung (nur). Durch die Aktivierung der integrierten Windows-Authentifizierung muss die Protokollaushandlung für den Webserver automatisch auf Negotiate (NTLM) festgelegt werden, wodurch die Kerberos-Authentifizierung mit Fallback auf NTLM für nicht Kerberos-fähige Geräte angegeben wird. Wenn diese Option nicht automatisch ausgewählt wird, setzen Sie die Protokollaushandlung manuell auf Aushandeln, NTLM.

Richten Sie SSO durch Identitätswechsel ein

Sie können das KCD-Konto für NetScaler SSO durch Identitätswechsel konfigurieren. In dieser Konfiguration erhält die NetScaler-Appliance den Benutzernamen und das Kennwort des Benutzers, wenn sich der Benutzer beim Authentifizierungsserver authentifiziert, und verwendet diese Anmeldeinformationen, um sich als Benutzer auszugeben, um ein Ticket Granting Ticket (TGT) zu erhalten. Wenn der Benutzername im UPN-Format vorliegt, bezieht die Appliance den Bereich des Benutzers von UPN. Andernfalls erhält es den Namen und den Bereich des Benutzers, indem es ihn aus der SSO-Domäne extrahiert, die bei der Erstauthentifizierung verwendet wurde, oder aus dem Sitzungsprofil.

Hinweis

Sie können keinen Benutzernamen mit Domäne hinzufügen, wenn der Benutzername bereits ohne Domäne hinzugefügt wurde. Wenn der Benutzername mit Domäne zuerst hinzugefügt wird, gefolgt von demselben Benutzernamen ohne Domäne, fügt die NetScaler-Appliance den Benutzernamen zur Benutzerliste hinzu.

Bei der Konfiguration des KCD-Kontos müssen Sie den Realm-Parameter auf den Bereich des Dienstes festlegen, auf den der Benutzer zugreift. Derselbe Bereich wird auch als Bereich des Benutzers verwendet, wenn der Bereich des Benutzers nicht durch Authentifizierung mit der NetScaler-Appliance oder aus dem Sitzungsprofil abgerufen werden kann.

So erstellen Sie das KCD-Konto für SSO durch Identitätswechsel mit einem Kennwort

Geben Sie an der Eingabeaufforderung den folgenden Befehl ein:


add aaa kcdaccount <accountname> -realmStr <realm>

<!--NeedCopy-->

Ersetzen Sie für die Variablen die folgenden Werte:

  • accountname. Der KCD-Kontoname.
  • realm. Die Domäne, die dem NetScaler SSO zugewiesen ist.

Beispiel

Um ein KCD-Konto mit dem Namen kcdccount1 hinzuzufügen und das Schlüsselregister kcdvserver.keytab zu verwenden, geben Sie den folgenden Befehl ein:


add aaa kcdAccount kcdaccount1 -keytab kcdvserver.keytab

<!--NeedCopy-->

Informationen zur Konfiguration des Kerberos-Identitätswechsels über die NetScaler-GUI finden Sie unter NetScaler-Unterstützung.

SSO durch Delegierung konfigurieren

Um SSO nach Delegation zu konfigurieren, müssen Sie die folgenden Aufgaben ausführen:

  • Wenn Sie die Delegierung durch ein delegiertes Benutzerzertifikat konfigurieren, installieren Sie die entsprechenden CA-Zertifikate auf der NetScaler-Appliance und fügen Sie sie der NetScaler-Konfiguration hinzu.
  • Erstellen Sie das KCD-Konto auf der Appliance. Die Appliance verwendet dieses Konto, um Servicetickets für Ihre geschützten Anwendungen zu erhalten.
  • Konfigurieren Sie den Active Directory-Server.

Hinweis

Weitere Informationen zum Erstellen eines KCD-Kontos und zum Konfigurieren auf der NetScaler-Appliance finden Sie in den folgenden Themen:

Installieren des Client-CA-Zertifikats auf der NetScaler-Appliance

Wenn Sie das NetScaler SSO mit einem Clientzertifikat konfigurieren, müssen Sie das entsprechende CA-Zertifikat für die Clientzertifikatdomäne (das Clientzertifizierungsstellenzertifikat) auf die NetScaler-Appliance kopieren und dann das CA-Zertifikat installieren. Um das Client-CA-Zertifikat zu kopieren, verwenden Sie das Dateiübertragungsprogramm Ihrer Wahl, um das Zertifikat und die Datei mit dem privaten Schlüssel auf die NetScaler Appliance zu übertragen und die Dateien darin zu speichern. /nsconfig/ssl

So installieren Sie das Client-CA-Zertifikat auf der NetScaler-Appliance

Geben Sie an der Eingabeaufforderung den folgenden Befehl ein:


add ssl certKey <certkeyName> -cert <cert> [(-key <key> [-password]) | -fipsKey <fipsKey>][-inform ( DER | PEM )][-expiryMonitor ( ENABLED | DISABLED | UNSET ) [-notificationPeriod <positive_integer>]] [-bundle ( YES | NO )]

<!--NeedCopy-->

Ersetzen Sie für die Variablen die folgenden Werte:

  • certkeyName. Ein Name für das Client-CA-Zertifikat. Muss mit einem alphanumerischen ASCII-Zeichen oder einem Unterstrich (_) beginnen und muss aus einem bis einunddreißig Zeichen bestehen. Zulässige Zeichen sind alphanumerische ASCII-Zeichen, Unterstrich, Hash (#), Punkt (.), Leerzeichen, Doppelpunkt (:), at (@), Gleichheitszeichen (=) und Bindestrich (-). Kann nicht geändert werden, nachdem das Zertifikat-Schlüsselpaar erstellt wurde. Wenn der Name ein oder mehrere Leerzeichen enthält, schließen Sie den Namen in doppelte oder einfache Anführungszeichen ein (z. B. “mein Zertifikat” oder “mein Zertifikat”).
  • cert. Vollständiger Pfadname und Dateiname der X509-Zertifikatsdatei, die zur Bildung des Zertifikatsschlüsselpaars verwendet wurde. Die Zertifikatsdatei muss auf der NetScaler-Appliance im Verzeichnis /nsconfig/ssl/ gespeichert werden.
  • Schlüssel. Vollständiger Pfadname und Dateiname der Datei, die den privaten Schlüssel zur X509-Zertifikatsdatei enthält. Die Schlüsseldatei muss auf der NetScaler-Appliance im Verzeichnis /nsconfig/ssl/ gespeichert werden.
  • password. Wenn ein privater Schlüssel angegeben ist, wird die Passphrase verwendet, um den privaten Schlüssel zu verschlüsseln. Verwenden Sie diese Option, um verschlüsselte private Schlüssel im PEM-Format zu laden.
  • fipsKey. Name des FIPS-Schlüssels, der im Hardware Security Module (HSM) einer FIPS-Appliance erstellt wurde, oder eines Schlüssels, der in das HSM importiert wurde.

    Hinweis

    Sie können entweder einen Schlüssel oder einen FIPSkey angeben, aber nicht beide.

  • inform. Format des Zertifikats und der Privatschlüsseldateien, entweder PEM oder DER.
  • passplain. Passphrase, die zum Verschlüsseln des privaten Schlüssels verwendet wird. Erforderlich für das Hinzufügen eines verschlüsselten privaten Schlüssels im PEM-Format.
  • expiryMonitor. Konfigurieren Sie die NetScaler-Appliance so, dass eine Warnung ausgegeben wird, wenn das Zertifikat bald abläuft. Mögliche Werte: ENABLED, DISABLED, UNSET.
  • notificationPeriod. Wenn expiryMonitor ENABLED ist, die Anzahl der Tage, bis das Zertifikat abläuft, um eine Warnung auszustellen.
  • bundle. Analysieren Sie die Zertifikatkette als einzelne Datei, nachdem Sie das Serverzertifikat mit dem Zertifikat seines Ausstellers in der Datei verknüpft haben. Mögliche Werte: YES, NO.

Beispiel

Im folgenden Beispiel wird das angegebene delegierte Benutzerzertifikat customer-cert.pem zusammen mit dem Schlüssel customer-key.pem zur NetScaler-Konfiguration hinzugefügt und das Kennwort, das Zertifikatsformat, die Ablaufüberwachung und die Benachrichtigungsfrist festgelegt.

Um das delegierte Benutzerzertifikat hinzuzufügen, geben Sie die folgenden Befehle ein:


add ssl certKey customer -cert "/nsconfig/ssl/customer-cert.pem"
-key "/nsconfig/ssl/customer-key.pem" -password "dontUseDefaultPWs!"
-inform PEM -expiryMonitor ENABLED [-notificationPeriod 14]

<!--NeedCopy-->

Erstellen des KCD-Kontos

Wenn Sie NetScaler SSO durch Delegierung konfigurieren, können Sie das KCD-Konto so konfigurieren, dass es den Anmeldenamen und das Kennwort des Benutzers verwendet, den Anmeldenamen und die Keytab des Benutzers verwendet oder das Clientzertifikat des Benutzers verwendet. Wenn Sie SSO mit Benutzernamen und Kennwort konfigurieren, verwendet die NetScaler-Appliance das delegierte Benutzerkonto, um ein Ticket Granting Ticket (TGT) zu erhalten, und verwendet dann das TGT, um Servicetickets für die spezifischen Dienste zu erhalten, die jeder Benutzer anfordert. Wenn Sie SSO mit der Keytab-Datei konfigurieren, verwendet die NetScaler-Appliance das delegierte Benutzerkonto und die Keytab-Informationen. Wenn Sie SSO mit einem delegierten Benutzerzertifikat konfigurieren, verwendet die NetScaler-Appliance das delegierte Benutzerzertifikat.

Hinweis:

Bereichsübergreifend muss der servicePrincipalName des delegierten Benutzers das Format host/<name> haben. Wenn er nicht in diesem Format vorliegt, ändern Sie den servicePrincipalName des delegierten Benutzers <servicePrincipalName> in host/<service-account-samaccountname>. Sie können das Attribut des delegierten Benutzerkontos im Domänencontroller überprüfen. Eine Methode zum Ändern besteht darin, das Attribut logonName des delegierten Benutzers zu ändern.

So erstellen Sie das KCD-Konto für SSO durch Delegierung mit einem Kennwort

Geben Sie an der Eingabeaufforderung die folgenden Befehle ein:

add aaa kcdAccount <kcdAccount> {-realmStr <string>} {-delegatedUser <string>} {-kcdPassword } [-userRealm <string>]
[-enterpriseRealm <string>] [-serviceSPN <string>]
<!--NeedCopy-->

Ersetzen Sie für die Variablen die folgenden Werte:

  • kcdAccount — Ein Name für das KCD-Konto. Dies ist ein zwingendes Argument. Maximale Länge: 31
  • realmStr - Der Bereich von Kerberos. Maximale Länge: 255
  • delegatedUser — Der Benutzername, der die eingeschränkte Kerberos-Delegierung durchführen kann. Der delegierte Benutzername wird vom servicePrincipalName Ihres Domänencontrollers abgeleitet. Für Cross-Realm muss der servicePrincipalName des delegierten Benutzers das Format haben host/<name>. Maximale Länge: 255
  • kcdPassword - Kennwort für delegierten Benutzer. Maximale Länge: 31
  • userRealm - Bereich des Benutzers. Maximale Länge: 255
  • enterpriseRealm - Enterprise-Bereich des Benutzers. Dies ist nur in bestimmten KDC-Bereitstellungen gegeben, in denen KDC den Enterprise-Benutzernamen anstelle von Principal Name erwartet. Maximale Länge: 255
  • serviceSPN — Dienst-SPN. Wenn angegeben, wird dies zum Abrufen von Kerberos-Tickets verwendet. Wenn nicht angegeben, erstellt NetScaler SPN mit dem Dienst-FQDN. Maximale Länge: 255

Beispiel (UPN-Format):

Um ein KCD-Konto mit dem Namen kcdaccount1 zur NetScaler-Appliance-Konfiguration mit dem Kennwort Kennwort1 und einem Bereich von EXAMPLE.COM hinzuzufügen und das delegierte Benutzerkonto im UPN-Format (als root) anzugeben, geben Sie die folgenden Befehle ein:


add aaa kcdaccount kcdaccount1 –delegatedUser root
-kcdPassword password1 -realmStr EXAMPLE.COM

<!--NeedCopy-->

Beispiel (SPN-Format):

Um ein KCD-Konto mit dem Namen kcdaccount1 zur NetScaler-Appliance-Konfiguration mit dem Kennwort Kennwort1 und einem Bereich von EXAMPLE.COM hinzuzufügen und das delegierte Benutzerkonto im SPN-Format anzugeben, geben Sie die folgenden Befehle ein:


add aaa kcdAccount kcdaccount1 -realmStr EXAMPLE.COM
-delegatedUser "host/kcdvserver.example.com" -kcdPassword password1

<!--NeedCopy-->

Erstellen des KCD-Kontos für SSO durch Delegation mit einer Keytab

Wenn Sie eine Keytab-Datei für die Authentifizierung verwenden möchten, erstellen Sie zuerst die Keytab-Datei. Sie können die Keytab-Datei manuell erstellen, indem Sie sich am AD-Server anmelden und das Dienstprogramm ktpass verwenden, oder Sie können das NetScaler-Konfigurationsdienstprogramm verwenden, um ein Batchskript zu erstellen und dieses Skript dann auf dem AD-Server auszuführen, um die Keytab-Datei zu generieren. Verwenden Sie als Nächstes FTP oder ein anderes Dateiübertragungsprogramm, um die Keytab-Datei auf die NetScaler-Appliance zu übertragen und im Verzeichnis /nsconfig/krb abzulegen. Konfigurieren Sie abschließend das KCD-Konto für NetScaler SSO durch Delegierung und geben Sie der NetScaler-Appliance den Pfad und den Dateinamen der Keytab-Datei an.

Hinweis:

Wenn Sie für Cross-Realm die Keytab-Datei als Teil des KCD-Kontos abrufen möchten, verwenden Sie den folgenden Befehl für den aktualisierten delegierten Benutzernamen.

Erstellen Sie im Domänencontroller eine aktualisierte Keytab-Datei.

ktpass /princ <servicePrincipalName-with-prefix<host/>Of-delegateUser>@<DC REALM in uppercase> /ptype KRB5_NT_PRINCIPAL /mapuser <DC REALM in uppercase>\<sAMAccountName> /pass <delegatedUserPassword> -out filepathfor.keytab

Die Datei filepathfor.keytab kann in der NetScaler-Appliance abgelegt und als Teil der Keytab-Konfiguration im ADC KCD-Konto verwendet werden.

So erstellen Sie die Keytab-Datei manuell

Melden Sie sich an der AD-Server-Befehlszeile an und geben Sie an der Eingabeaufforderung den folgenden Befehl ein:

ktpass princ <SPN> ptype KRB5_NT_PRINCIPAL mapuser <DOMAIN><username> pass <password> -out <File_Path>
<!--NeedCopy-->

Ersetzen Sie für die Variablen die folgenden Werte:

  • SPN. Der Dienstprinzipalname für das KCD-Dienstkonto.
  • DOMAIN. Die Domäne des Active Directory-Servers.
  • username. Der Benutzername des KSA-Kontos.
  • password. Das Kennwort für das KSA-Konto.
  • path. Der vollständige Pfadname des Verzeichnisses, in dem die Keytab-Datei gespeichert werden soll, nachdem sie generiert wurde.
So erstellen Sie mit dem NetScaler-Konfigurationsdienstprogramm ein Skript zum Generieren der Keytab-Datei
  1. Navigieren Sie zu Sicherheit > AAA — Anwendungsverkehr.
  2. Klicken Sie im Datenbereich unter Kerberos Constrained Delegationauf Batch-Datei, um Keytab zu generieren.
  3. Legen Sie im Dialogfeld KCD (Kerberos Constrained Delegation)-Keytab-Skript generieren die folgenden Parameter fest:
    • Domänenbenutzername. Der Benutzername des KSA-Kontos.
    • Domänenkennwort. Das Kennwort für das KSA-Konto.
    • Dienstprinzipal. Der Name des Dienstprinzipals für die KSA.
    • Name der Ausgabedatei. Der vollständige Pfad und Dateiname, unter dem die Keytab-Datei auf dem AD-Server gespeichert werden soll.
  4. Deaktivieren Sie das Kontrollkästchen Domänenbenutzerkonto erstellen .
  5. Klicken Sie auf Skript generieren.
  6. Melden Sie sich beim Active Directory-Server an und öffnen Sie ein Befehlszeilenfenster.
  7. Kopieren Sie das Skript aus dem Fenster Generiertes Skript und fügen Sie es direkt in das Befehlszeilenfenster des Active Directory-Servers ein. Die keytab wird generiert und im Verzeichnis unter dem Dateinamen gespeichert, den Sie als Ausgabedateiname angegeben haben.
  8. Verwenden Sie das Dateiübertragungsprogramm Ihrer Wahl, um die Keytab-Datei vom Active Directory-Server auf die NetScaler-Appliance zu kopieren und im Verzeichnis /nsconfig/krb abzulegen.
So erstellen Sie das KCD-Konto

Geben Sie an der Eingabeaufforderung den folgenden Befehl ein:

add aaa kcdaccount <accountname> –keytab <keytab>
<!--NeedCopy-->

Beispiel

Um ein KCD-Konto mit dem Namen kcdccount1 hinzuzufügen und das Keytab mit dem Namen kcdvserver.keytab zu verwenden, geben Sie die folgenden Befehle ein:

add aaa kcdaccount kcdaccount1 –keytab kcdvserver.keytab
<!--NeedCopy-->

So erstellen Sie das KCD-Konto für SSO durch Delegation mit einem delegierten Benutzerzertifikat

Geben Sie an der Eingabeaufforderung den folgenden Befehl ein:

add aaa kcdaccount <accountname> -realmStr <realm> -delegatedUser <user_nameSPN> -usercert <cert> -cacert <cacert>
<!--NeedCopy-->

Ersetzen Sie für die Variablen die folgenden Werte:

  • accountname. Ein Name für das KCD-Konto.
  • realmStr. Der Bereich für das KCD-Konto, normalerweise die Domäne, für die SSO konfiguriert ist.
  • delegatedUser. Der delegierte Benutzername im SPN-Format.
  • usercert. Der vollständige Pfad und Name der delegierten Benutzerzertifikatdatei auf der NetScaler-Appliance. Das delegierte Benutzerzertifikat muss sowohl das Clientzertifikat als auch den privaten Schlüssel enthalten und muss im PEM-Format vorliegen. Wenn Sie die Smartcard-Authentifizierung verwenden, müssen Sie eine Smartcard-Zertifikatsvorlage erstellen, damit Zertifikate mit dem privaten Schlüssel importiert werden können.
  • cacert. Der vollständige Pfad und der Name der CA-Zertifikatsdatei auf der NetScaler-Appliance.

Beispiel

Um ein KCD-Konto mit dem Namen kcdccount1 hinzuzufügen und das Schlüsselregister kcdvserver.keytab zu verwenden, geben Sie den folgenden Befehl ein:

add aaa kcdaccount kcdaccount1 -realmStr EXAMPLE.COM
     -delegatedUser "host/kcdvserver.example.com" -usercert /certs/usercert
     -cacert /cacerts/cacert
<!--NeedCopy-->

Active Directory für NetScaler SSO einrichten

Wenn Sie SSO durch Delegierung konfigurieren, müssen Sie nicht nur das KCD-Konto auf der NetScaler-Appliance erstellen, sondern auch ein passendes Kerberos-Dienstkonto (KSA) auf Ihrem LDAP-Active Directory-Server erstellen und den Server für SSO konfigurieren. Verwenden Sie zum Erstellen des KSA den Kontoerstellungsprozess auf dem Active Directory-Server. Um SSO auf dem Active Directory-Server zu konfigurieren, öffnen Sie das Eigenschaftenfenster für den KSA. Auf der Registerkarte Delegierung aktivieren Sie die folgenden Optionen: Vertrauen Sie diesem Benutzer für die Delegierung nur an bestimmte Dienste und Verwenden Sie ein beliebiges Authentifizierungsprotokoll. (Die Option “Nur Kerberos” funktioniert nicht, da sie keinen Protokollübergang oder eingeschränkte Delegierung ermöglicht.) Fügen Sie abschließend die Dienste hinzu, die NetScaler SSO verwaltet.

Hinweis:

Wenn die Registerkarte Delegierung im Dialogfeld Eigenschaften des KSA-Kontos nicht angezeigt wird, müssen Sie den Active Directory-Server mit dem Befehlszeilentool Microsoft setspn so konfigurieren, dass die Registerkarte sichtbar ist, bevor Sie den KSA wie beschrieben konfigurieren können.

Konfigurieren der Delegierung für das Kerberos-Dienstkonto

  1. Klicken Sie im Dialogfeld zur Konfiguration des LDAP-Kontos für das Kerberos-Dienstkonto, das Sie erstellt haben, auf die Registerkarte Delegierung .
  2. Wählen Sie Diesem Benutzer nur für die Delegierung an die angegebenen Dienste vertrauen.
  3. Wählen Sie unter Nur diesem Benutzer für die Delegierung an die angegebenen Dienste vertrauen die Option Beliebiges Authentifizierungsprotokoll verwenden.
  4. Klicken Sie unter Dienste, denen dieses Konto delegierte Anmeldeinformationen präsentieren kann, auf Hinzufügen.
  5. Klicken Sie im Dialogfeld Dienste hinzufügen auf Benutzer oder Computer, wählen Sie den Server aus, der die Ressourcen hostet, die dem Dienstkonto zugewiesen werden sollen, und klicken Sie dann auf OK.

    Hinweis:

    • Die eingeschränkte Delegierung unterstützt keine Dienste, die in anderen Domänen als der dem Konto zugewiesenen Domäne gehostet werden, obwohl Kerberos möglicherweise eine Vertrauensbeziehung zu anderen Domänen hat.
    • Verwenden Sie den folgenden Befehl, um setspn zu erstellen, wenn ein neuer Benutzer im Active Directory erstellt wird: setspn -A host/kcdvserver.example.com example\kcdtest
  6. Zurück im Dialogfeld Dienste hinzufügen in der Liste Verfügbare Dienste wählen Sie die Dienste aus, die dem Dienstkonto zugewiesen sind. NetScaler SSO unterstützt die HTTP- und MSSQLSVC-Dienste.
  7. Klicken Sie auf OK.

Konfigurationsänderungen, damit KCD untergeordnete Domänen unterstützen kann

Wenn das KCD-Konto mit samAccountName für -delegatedUser konfiguriert ist, funktioniert KCD nicht für Benutzer, die auf Dienste aus untergeordneten Domänen zugreifen. In diesem Fall können Sie die Konfiguration auf der NetScaler-Appliance und im Active Directory ändern.

  • Ändern Sie den Anmeldenamen des Dienstkontos <service-account-samaccountname> (das im KCD-Konto als delegateUser konfiguriert ist) in AD in das Format host/<service-account-samaccountname>.<completeUSERDNSDOMAIN> (z. B. host/svc_act.child.parent.com).

    Sie können das Dienstkonto manuell oder über den Befehl ktpass ändern. Das aktualisiert das Dienstkonto ktpass automatisch.

    ktpass /princ host/svc_act.child.parent.com@CHILD.PARENT.COM /ptype KRB5_NT_PRINCIPAL /mapuser CHILD\sv_act /pass serviceaccountpassword -out filepathfor.keytab

  • Ändern Sie delegatedUser im KCD-Konto auf der NetScaler-Appliance.
  • Ändern Sie den Parameter -delegatedUser im KCD-Konto in host/svc_act.child.parent.com

Zu beachtende Punkte, wenn erweiterte Verschlüsselungen zur Konfiguration des KCD-Kontos verwendet werden

  • Beispielkonfiguration bei Verwendung von Keytab: add kcdaccount lbvs_keytab_aes256 -keytab "/nsconfig/krb/kcd2_aes256.keytab"
  • Beispielbefehl, wenn keytab mehrere Verschlüsselungstypen hat. Der Befehl erfasst auch Domänenbenutzerparameter: add kcdaccount lbvs_keytab_aes256 -keytab "/nsconfig/krb/kcd2_aes256.keytab" –domainUser "HTTP/lbvs.aaa.local"
  • Beispielbefehl, wenn Benutzeranmeldeinformationen verwendet werden: add kcdaccount kslb2_user -realmStr AAA.LOCAL -delegatedUser lbvs -kcdPassword <password>

Informationen zum Domain-Benutzer

Wenn erweiterte Verschlüsselungstypen für Kerberos SSO verwendet werden, stellen Sie sicher, dass die richtigen Domänenbenutzerinformationen bereitgestellt werden. Sie können die Informationen über den Benutzeranmeldenamen aus Active Directory abrufen.

Bei der Konfiguration von NetScaler SSO mithilfe der Kerberos-Delegierung

Wenn erweiterte Verschlüsselungstypen für Kerberos SSO mithilfe von Delegierung verwendet werden, muss der Parameter delagatedUser des Befehls add aaa kcdaccount der Dienstprinzipalname (Service Principal Name, SPN) des Benutzers sein. Beim Dienstprinzipalnamen wird zwischen Groß- und Kleinschreibung unterschieden.

Verwenden Sie den Befehl setspn -L <domain\user> auf dem Active Directory-Domänencontroller, um den Dienstprinzipalnamen eines Benutzers zu ermitteln. Beispiel: setspn -L EXAMPLE\username

Verwenden Sie den Befehl setspn auf dem Active Directory-Domänencontroller, um den Dienstprinzipalnamen festzulegen. Verwenden Sie den Befehl ktpass auf dem Active Directory-Domänencontroller, um eine Schlüsseltabellendatei zu erstellen. Im Folgenden finden Sie ein Beispiel dafür:

  • setspn: setspn -S host/username.example.com EXAMPLE\username
  • keytab: ktpass /princ host/username.example.com@EXAMPLE.COM /ptype KRB5_NT_PRINCIPAL /mapuser EXAMPLE.COM\username /pass XXXX /crypto AES256-SHA1 -out <pathto.keytab.file>

Sobald die oben genannten Aktionen in Active Directory ausgeführt wurden, aktualisieren Sie das KCD-Konto mit dem konfigurierten SPN, indem Sie die Befehle add kcdaccount oder die setkcdaccount Befehle auf der NetScaler CLI verwenden.

Um den SPN des bestimmten Benutzerkontos anzuzeigen, navigieren Sie zum Abschnitt Benutzereigenschaften von Active Directory.

Bei der Konfiguration von NetScaler SSO mit Kerberos-Identitätswechsel

Wenn erweiterte Verschlüsselungstypen für Kerberos-SSO mit Identitätswechsel verwendet werden, stellen Sie sicher, dass die SSO-Anmeldeinformationen mit dem richtigen Dienstprinzipalnamen des Endbenutzers verwendet werden. Wenn die Endbenutzer-Anmeldeinformationen mit einem Kerberos-SSO nicht funktionieren, konfigurieren Sie den entsprechenden Benutzerausdruck, um den SSO-Benutzernamen festzulegen.

Wenn der Benutzerprinzipalname der richtige Dienstprinzipalname des Endbenutzers in Active Directory ist, dann:

  • Verwenden Sie den Parameter ssoNameAttribute im Befehl LDAPAction, um den SSO-Benutzernamen festzulegen, wenn die LDAP-Authentifizierung für die Endbenutzeranmeldung verwendet wird.

    Beispiel:set authentication ldapAction ldap_act -ssoNameAttribute userPrincipalName

  • Verwenden Sie den Parameter userExpression im Befehl trafficAction, wenn eine andere Authentifizierungsmethode für die Benutzeranmeldung verwendet wird. Wenn für Benutzerattribute1 beispielsweise der Benutzerprinzipalname gespeichert ist, können Sie ihn AAA.USER.ATTRIBUTE(1) mit der Verkehrsaktion verwenden.

    Beispiel:add tm traffic action traf_act -userExpression AAA.USER.ATTRIBUTE(1)