Jens.Albrecht 10 Geschrieben 14. August 2008 Melden Teilen Geschrieben 14. August 2008 Guten Morgen zusammen, nachdem ich nun seit 3 Tagen im regen Telefonkontakt mit dem Hersteller unser Firewall stehe, hoffe ich das evtl hier jemand eine Idee haben könnte. Folgendes Szenario : Wir haben einen Windows 2000 Server (SP4) der als Domain Controller fungiert. Ausserdem einen Backup Domain Controller 2003 Nun haben wir vor 4 Tagen eine Firewall aus dem Hause Gateprotect bekommen und wollen gerne das AD für die Zugrifffsrechte verwenden. Generell sieht das ganze so aus : Ich habe auf dem DC mit KTPass eine Key Datei erzeugt und diese auf der Firewall importiert. So weot so gut - Wenn sich nun ein Client am AD anmeldet wir ein kleines Programm gestartet (UUAClientSSO) der einen Connect zur Firewall aufbaut und somit den User an die Firewall meldet. User : gpLogin mit DES-Verschlüsselungstypen Das funktioniert leider nur bedingt, da der Client scheinbar manchmal vom BDC einen Schlüssel bekommt und nicht immer den auf dem richtigen DC erstellten Schlüssel, so das es Leider zu keinem Connect (bzw. Autentifizierung) an der Firewall kommt. Das schaut dann so aus : gpAuthd: KerberosService: 192.168.2.129 --- error in accepting context --- krb5 error --- Key version number for principal in key table is incorrect Ich weiss das ganze ist ein wenig unvollständig beschrieben. Aber vielleicht ist ja dem einen oder anderen ein solches Problem schon einmal über den weg gelaufen ;) Wäre sehr dankbar wenn jemand eine Idee hätte wie ich den Clients oder dem Server beibringe, das er sich den Key vom richtigen Server holen oder verteilen soll. Danke schon einmal .... Jens Albrecht Zitieren Link zu diesem Kommentar
NilsK 2.809 Geschrieben 14. August 2008 Melden Teilen Geschrieben 14. August 2008 Moin, mir scheint es, als wäre deine Fehleranalyse nicht ganz zutreffend, und dein Problem liegt irgendwo anders. Mit KTPass erzeugst du ein Mapping zwischen einem AD-User und einem Kerberos-Dienstnamen für ein Unix-System. Dieses Mapping hat nichts mit einem bestimmten DC zu tun, sondern es teilt dem Unix-Host mit, wie er sich an AD authentisieren soll. Vielleicht ist es aber auch ein Versionsproblem, ich habe wenig Erfahrung mit der Technik. Welche Version von KTPass hast du denn verwendet, die aus dem alten 2000-Resource Kit oder die aus dem 2003er? Im Übrigen gibt es im AD keinen PDC und BDC, und die Anmeldung wird quasi-zufällig zwischen den vorhandenen DCs verteilt. Gibt es evtl. Replikationsprobleme in deinem AD? Gruß, Nils Zitieren Link zu diesem Kommentar
Jens.Albrecht 10 Geschrieben 14. August 2008 Autor Melden Teilen Geschrieben 14. August 2008 Hi Nils, erstmal vielen Dank für die Antwort. Habe das Problem - hoffe ich in den Griff bekommen. Das Problem liegt tatsächlich im Mischbetrieb (Win200 / 2003 Server) Nur mal als kurze Info mein Suchergebniss bei MS MIT Kerberos clients cannot authenticate to a Windows Server 2003-based domain controller in a Windows 2000 domain Da ist alles recht gut beschrieben - wenn man auch erst mal auf die Idee kommen muss das hier : CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=forest root rückwärts zu interpretieren als dummer Microsoft Benutzer ;) Gruss Jens Zitieren Link zu diesem Kommentar
NilsK 2.809 Geschrieben 14. August 2008 Melden Teilen Geschrieben 14. August 2008 Moin, zu dem LDAP-Pfad könnte dies interessant für dich sein: faq-o-matic.net » LDAP-Grundlagen für Active Directory Gruß, Nils Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.