bouncer86 5 Geschrieben 2. Januar 2017 Autor Melden Geschrieben 2. Januar 2017 Du hast da eine Domäne / einen Forest, mehrere Domänen / einen Forest oder mehrere Domänen / mehrere Forests? Ein Forest mit einer Domäne "test.local" und einem zusätzlichen UPN "test.de".
NilsK 3.046 Geschrieben 2. Januar 2017 Melden Geschrieben 2. Januar 2017 Moin, obwohl im User Objekt als REALM "TEST.DE" eingetragen ist. [...] Stelle ich im AD im User Objekt den REALM auf "test.local" wovon sprichst du? :confused: Wo im AD stellt man "im User" einen Realm ein? Du weißt, was ein Realm in Kerberos ist? Das AD kennt sowas gar nicht, aber die nächste Entsprechung wäre die Domäne. Ich nehme an, dass du das UPN-Suffix meinst, aber das ist kein "Realm". Meine Vermutung ist, dass Netscaler sich von dem UPN-Suffix dazu verleiten lässt, nach einer Domäne (für ihn eben der "Realm") "test.de" zu suchen, die es ja nicht gibt. Es wird sicher eine Möglichkeit geben, das in den Policies dort zu konfigurieren. Wie gesagt, ich bin kein Netscaler-Experte. Ich habe Kollegen, die sowas rauf und runter können, aber die sind hier leider nicht aktiv. Gruß, Nils
testperson 1.860 Geschrieben 3. Januar 2017 Melden Geschrieben 3. Januar 2017 Meine Vermutung ist, dass Netscaler sich von dem UPN-Suffix dazu verleiten lässt, nach einer Domäne (für ihn eben der "Realm") "test.de" zu suchen, die es ja nicht gibt. Es wird sicher eine Möglichkeit geben, das in den Policies dort zu konfigurieren. Ich vermute da ja ähnliches, dass ein entsprechendes SSOn Attribut nicht passt. Ein Forest mit einer Domäne "test.local" und einem zusätzlichen UPN "test.de". Meine zweite Vermutung ging in Richtung UPN Suffix Routing. Da meine ich mal einen ähnlichen Fall mitbekommen zu haben. Aber das ist es bei der Konstellation wohl nicht. P.S.: Ich kann Nils' Netscaler-Kollegen sehr empfehlen ;) 1
bouncer86 5 Geschrieben 3. Januar 2017 Autor Melden Geschrieben 3. Januar 2017 Moin, wovon sprichst du? :confused: Wo im AD stellt man "im User" einen Realm ein? Du weißt, was ein Realm in Kerberos ist? Das AD kennt sowas gar nicht, aber die nächste Entsprechung wäre die Domäne. Ich nehme an, dass du das UPN-Suffix meinst, aber das ist kein "Realm". sorry, ja UPN Suffix. Das meinte ich mit Realm. War mir der Bedeutung nicht sicher. Aber danke. Habe mal etwas recherchiert. F5 scheint ein ähnliches Problem zu haben.(Stand 2015) Es muss wohl um das Kerberos Feature "Kerberos Principal Name Canonicalization and Cross-Realm Referrals" gehen. Dazu habe ich folgenden RFC Artikel gefunden: https://tools.ietf.org/html/rfc6806.html ich habe das mal so an den Support weiter gegeben, ob es überhaupt vom Netscaler aus supported ist.
bouncer86 5 Geschrieben 13. Januar 2017 Autor Melden Geschrieben 13. Januar 2017 Aktueller Stand: Citrix schiebt das Problem immer noch auf das Active Directory. Scheinbar haben sie aber noch nicht den Unterschied zwischen Realm und UPN Suffix verstanden. Ich habe parallel einmal ein meinem Lab das ganze Nachgebaut und einen MSFT TMG 2010 installiert und konfiguriert. Hier funktioniert die Authentifizierung ohne Probleme. Daher kann es nicht am AD liegen. @Nils: Könntest du einmal bei deinen Kollegen fragen, ob und wie sie so eine Konfiguration schon einmal durchgeführt haben? Wie gesagt, ist der UPN Suffix = der Realm, funktioniert KCD auf meinem Netscaler auch einwandfrei. Was mir allerdings auch aufgefallen ist, ich habe am TMG mal einen Wireshark Trace erstellt. Ich sehe hier leider keine TGS-REQ Anfragen, sondern nur TGS-REP Pakete. Dies kann ich mir leider derzeit nicht erklären.
NilsK 3.046 Geschrieben 13. Januar 2017 Melden Geschrieben 13. Januar 2017 Moin, sorry, aber meine Kollegen kann ich hier nicht einbinden. Dazu bräuchte ich einen kaufmännischen Auftrag. Gruß, Nils 1
bouncer86 5 Geschrieben 4. März 2017 Autor Melden Geschrieben 4. März 2017 Der Citrix Support hat es nun gelöst. Allerdings verwenden wir nun den samaccountnamen um das Kerberos Ticket zu beantragen. Ich frage mich, ob dies irgendwelche Nebeneffekte hat? Der Benutzer authentifiziert sich mit dem Upn, welcher im Zertifikat steht, basierend darauf liest der Netscaler den samaccountnamen aus dem AD per ldap policy und beantragt damit dann am KDC das Ticket und kann sich erfolgreich authentifizieren. 1
NilsK 3.046 Geschrieben 6. März 2017 Melden Geschrieben 6. März 2017 Moin, zumindest ist mir das so in der Art schon von meinen NetScaler-Kollegen beschrieben worden. Dürfte also ein übliches Vorgehen sein. Gruß, Nils PS. Danke für die Rückmeldung!
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden