bouncer86 5 Geschrieben 2. Januar 2017 Autor Melden Teilen Geschrieben 2. Januar 2017 Du hast da eine Domäne / einen Forest, mehrere Domänen / einen Forest oder mehrere Domänen / mehrere Forests? Ein Forest mit einer Domäne "test.local" und einem zusätzlichen UPN "test.de". Zitieren Link zu diesem Kommentar
NilsK 2.785 Geschrieben 2. Januar 2017 Melden Teilen Geschrieben 2. Januar 2017 Moin, obwohl im User Objekt als REALM "TEST.DE" eingetragen ist. [...] Stelle ich im AD im User Objekt den REALM auf "test.local" wovon sprichst du? :confused: Wo im AD stellt man "im User" einen Realm ein? Du weißt, was ein Realm in Kerberos ist? Das AD kennt sowas gar nicht, aber die nächste Entsprechung wäre die Domäne. Ich nehme an, dass du das UPN-Suffix meinst, aber das ist kein "Realm". Meine Vermutung ist, dass Netscaler sich von dem UPN-Suffix dazu verleiten lässt, nach einer Domäne (für ihn eben der "Realm") "test.de" zu suchen, die es ja nicht gibt. Es wird sicher eine Möglichkeit geben, das in den Policies dort zu konfigurieren. Wie gesagt, ich bin kein Netscaler-Experte. Ich habe Kollegen, die sowas rauf und runter können, aber die sind hier leider nicht aktiv. Gruß, Nils Zitieren Link zu diesem Kommentar
testperson 1.529 Geschrieben 3. Januar 2017 Melden Teilen Geschrieben 3. Januar 2017 Meine Vermutung ist, dass Netscaler sich von dem UPN-Suffix dazu verleiten lässt, nach einer Domäne (für ihn eben der "Realm") "test.de" zu suchen, die es ja nicht gibt. Es wird sicher eine Möglichkeit geben, das in den Policies dort zu konfigurieren. Ich vermute da ja ähnliches, dass ein entsprechendes SSOn Attribut nicht passt. Ein Forest mit einer Domäne "test.local" und einem zusätzlichen UPN "test.de". Meine zweite Vermutung ging in Richtung UPN Suffix Routing. Da meine ich mal einen ähnlichen Fall mitbekommen zu haben. Aber das ist es bei der Konstellation wohl nicht. P.S.: Ich kann Nils' Netscaler-Kollegen sehr empfehlen ;) 1 Zitieren Link zu diesem Kommentar
bouncer86 5 Geschrieben 3. Januar 2017 Autor Melden Teilen Geschrieben 3. Januar 2017 Moin, wovon sprichst du? :confused: Wo im AD stellt man "im User" einen Realm ein? Du weißt, was ein Realm in Kerberos ist? Das AD kennt sowas gar nicht, aber die nächste Entsprechung wäre die Domäne. Ich nehme an, dass du das UPN-Suffix meinst, aber das ist kein "Realm". sorry, ja UPN Suffix. Das meinte ich mit Realm. War mir der Bedeutung nicht sicher. Aber danke. Habe mal etwas recherchiert. F5 scheint ein ähnliches Problem zu haben.(Stand 2015) Es muss wohl um das Kerberos Feature "Kerberos Principal Name Canonicalization and Cross-Realm Referrals" gehen. Dazu habe ich folgenden RFC Artikel gefunden: https://tools.ietf.org/html/rfc6806.html ich habe das mal so an den Support weiter gegeben, ob es überhaupt vom Netscaler aus supported ist. Zitieren Link zu diesem Kommentar
bouncer86 5 Geschrieben 13. Januar 2017 Autor Melden Teilen Geschrieben 13. Januar 2017 Aktueller Stand: Citrix schiebt das Problem immer noch auf das Active Directory. Scheinbar haben sie aber noch nicht den Unterschied zwischen Realm und UPN Suffix verstanden. Ich habe parallel einmal ein meinem Lab das ganze Nachgebaut und einen MSFT TMG 2010 installiert und konfiguriert. Hier funktioniert die Authentifizierung ohne Probleme. Daher kann es nicht am AD liegen. @Nils: Könntest du einmal bei deinen Kollegen fragen, ob und wie sie so eine Konfiguration schon einmal durchgeführt haben? Wie gesagt, ist der UPN Suffix = der Realm, funktioniert KCD auf meinem Netscaler auch einwandfrei. Was mir allerdings auch aufgefallen ist, ich habe am TMG mal einen Wireshark Trace erstellt. Ich sehe hier leider keine TGS-REQ Anfragen, sondern nur TGS-REP Pakete. Dies kann ich mir leider derzeit nicht erklären. Zitieren Link zu diesem Kommentar
NilsK 2.785 Geschrieben 13. Januar 2017 Melden Teilen Geschrieben 13. Januar 2017 Moin, sorry, aber meine Kollegen kann ich hier nicht einbinden. Dazu bräuchte ich einen kaufmännischen Auftrag. Gruß, Nils 1 Zitieren Link zu diesem Kommentar
bouncer86 5 Geschrieben 4. März 2017 Autor Melden Teilen Geschrieben 4. März 2017 Der Citrix Support hat es nun gelöst. Allerdings verwenden wir nun den samaccountnamen um das Kerberos Ticket zu beantragen. Ich frage mich, ob dies irgendwelche Nebeneffekte hat? Der Benutzer authentifiziert sich mit dem Upn, welcher im Zertifikat steht, basierend darauf liest der Netscaler den samaccountnamen aus dem AD per ldap policy und beantragt damit dann am KDC das Ticket und kann sich erfolgreich authentifizieren. 1 Zitieren Link zu diesem Kommentar
NilsK 2.785 Geschrieben 6. März 2017 Melden Teilen Geschrieben 6. März 2017 Moin, zumindest ist mir das so in der Art schon von meinen NetScaler-Kollegen beschrieben worden. Dürfte also ein übliches Vorgehen sein. Gruß, Nils PS. Danke für die Rückmeldung! Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.