Checkliste zur Kerberos Konfiguration

Hallo, hier wieder einmal Rol mit einem Kerberos Thema. Diesmal geht es jedoch nicht um explizites Troubleshooting, sondern darum, welche Informationen notwendig sind, um ein Applikations-Setup von der Kerberos Seite zu verstehen.
Der Informationsfluss ist nicht nur wichtig, wenn sich auf eurer (Kunden) Seite z.B. die AD Administratoren mit den Applikations-Admins unterhalten müssen, sondern auch bei uns im Support, wenn wir zwischen den sehr spezialisierten Teams zusammenarbeiten, um ein Problem zu lösen. Das Gesamte wird natürlich nicht einfacher, wenn von AD Seite das Setup nicht verstanden wird und gleichzeitig die Applikations Seite nicht weiß, was für Kerberos relevant ist. Diese Lücke gilt es zu schließen.

Die zusammengetragenen Informationen können natürlich auch dazu verwendet werden, ein Setup zu dokumentieren, um im Fehlerfall damit zu beginnen die aktuelle Konfiguration gegen dieses Dokument zu prüfen.

Ich habe im Folgenden einmal versucht, das Thema über den Kerberos Flow aufzurollen und als “Kerberos support collaboration checklist” abgehandelt. Da wir alle heutzutage oft international arbeiten, gleich in Englisch - das macht das Weiterleiten dann einfacher:

###

Kerberos support collaboration checklist

The following information is a basic requirement to understand a setup from the Kerberos perspective.

Kerberos Flow:

clip_image004

Flow Item Information:

  1. User: Name, Domain, logon style (legacy “Domain\UserName” or UPN “UserName@Domain_FQDN”), role
  2. Client: Name, IP, Site, Domain, OS and SP, Platform x86/x64, DNS suffixes, supportedEncryptionTypes Policy
  3. Client Application: Name, Executable, used Server Name or URL (FQDN or Netbios Name) for SPN, requirements to use Kerberos, Elevation level
  4. KDC: Name, IP, OS and SP, Platform, Domain Mode
  5. Server: same as Client, roles
  6. Server Application: Name, Executable, requirements to support Kerberos
  7. Service Identity: Used Service Account, registered SPNs, Delegation settings - if Frontend needs to access remote servers too

clip_image002 Repeat last three steps for any further Middletier/Backend server

 

Example: Kerberos Setup for Webserver infoweb.rw8r2.net

 

Flow Item

Kerberos relevant information

1

User

Name: User1; Domain: RW8R2.NET; logon style: RW8R2\user1; role: local admin

2

Client 

Name: RW7CL1; IP: 191.60.6.5 (DHCP); Site: Munich; Domain: RW8R2.NET; OS/SP: Windows 7 SP1; Platform: x64; DNS suffixes: RW8R2.NET, ILS.EMEA (via DHCP); supportedEncryptionTypes: default

3

Client Application

Name: Internet Explorer 9; Executeable: iexplore.exe, from path „Program Files (x86) “, 32bit; Webpage URL: infoweb.rw8r2.net; IE Options: Tab Advanced, Security, „Enable Integrated Windows Authentication“ enabled; Tab Connections, LAN settings, Proxy Server, Advanced, Exceptions: „*.rw8r2.net“; Elevation Level: normal

4

KDC

Name: RW8R2DC2; IP: 191.60.255.222; OS/SP: Windows Server 2008 R2 SP1; Platform: x64; Domain Mode: Windows Server 2008

5

Server

Name: RW8R2M1; IP: 191.60.255.228; Site: Munich; Domain: RW8R2.NET; OS/SP: Windows Server 2008 R2 SP1; Platform: x64; DNS suffixes: RW8R2.NET; supportedEncryptionTypes: default; Roles: Webserver, Fileserver, DFSR replica member

6

Server Application

Name: Internet Information Server IIS 7; Executeable: W3SVC.exe; Kerberos configuration: „Windows Authentication“ enabled + Advanced Settings…, disable „Enable Kernel-Mode authentication“; Binding „http“ to Host name „infoweb.rw8r2.net“; Default Web Site, Application Pool: „MyAppPool1“, Connect as…, select „Application user (pass-through authentication)

7

Identity

Service Account: RW8R2\MyAppPool1; SPNs: http\infoweb.rw8r2.net; Delegation setting: AD account, Tab Delegation, „Do not trust this user for delegation“ selected

8

Middletier/ Backend

none

Note: The above is focused within one domain/forest. If the access (Client – Frontend, Frontend – Backend) happens cross Forest a Kerberos Forest Trust is required and the Trust type should be checked.

###

Das Ganze ist sicher noch ausbaufähig, aber für erste sollte es helfen, ein Setup von der Kerberos Seite her zu verstehen. Es gilt ja immer “Eine exakte Problembeschreibung ist schon die halbe Lösung” und dazu gehört eben auch das Verständnis der Konfiguration.

Damit auf erfolgreiche Zusammenarbeit und ein GUTES NEUES JAHR!

Euer Rol