Setup: NetScaler Kerberos Impersonation

Unser Einstieg in die praktische Kerberos-Umsetzung ist die Kerberos Impersonation. Wie schon in den theoretischen Grundlagen erklärt haben wir hier eine deutlich geringere Komplexität und können so deutlich schneller erste Erfolge messen. Dafür sind wir immer abhängig vom Passwort des zu authentifizierenden Benutzers. Kerberos Impersonation können wir also nur einsetzen, wenn der Anwender sich per Benutzername und Passwort anmeldet!

Die Konfiguration für Kerberos Impersonation ist denkbar einfach und basiert auf drei kleinen Schritten:

  • Freischaltung der benötigten Firewall Ports
  • Setup DNS Namensauflösung
  • Setup der Kerberos Impersonation Session Policies

Freischaltung der benötigten Firewall Ports

  • für die Kerberos Kommunikation müssen alle Domänen Controller per TCP/88  erreichbar sein
  • für die DNS Auflösung der Domänen Controller mit Kerberos Key Distribution Rolle benötigen wir die DNS Auflösung per UDP/53 und TCP/53.
  • für die weitere Bereitstellung des Webservices reicht die gewohnte Anbindung in Backend (z.B. TCP/80)

Setup DNS Namensauflösung

Üblicherweise realisiere ich die DNS Namensauflösung meiner NetScaler Installationen immer über einen eigenen Loadbalancing vServer. Für die benötigte UDP und TCP Auflösung müssen wir aber klassisch einzelne DNS Server eintragen.

 

Setup der Kerberos Impersonation Session Policies

Das SingleSignOn (SSO) per Kerberos Impersonation kann im Rahmen einer Session oder Traffic Policy aufgerufen werden. In unserem Beispiel nutzen wir hier eine Session Policy und wählen dann im Rahmen des Session Profiles nur den gewünschten KCD Account aus.

 

Und auch das Setup des KCD Account ist wirklich sehr überschaubar. Einzig der Name der Active Directory Domäne muss hier als Realm konfiguriert werden.

 

Validierung

Zur Überprüfung des Kerberos Setup empfiehlt sich wieder der Einsatz von Wireshark…

Viel Spaß!