Kerberos Authentifizierung

Mindbreeze InSpire

Copyright ©

Mindbreeze GmbH, A-4020 Linz, 2018.

Alle Rechte vorbehalten. Alle verwendeten Hard- und Softwarenamen sind Handelsnamen und/oder Marken der jeweiligen Hersteller.

Diese Unterlagen sind streng vertraulich. Durch die Übermittlung und Präsentation dieser Unterlagen alleine werden keine Rechte an unserer Software, an unseren Dienstleistungen und Dienstleistungsresultaten oder sonstigen geschützten Rechten begründet. Die Weitergabe, Veröffentlichung oder Vervielfältigung ist nicht gestattet.

Aus Gründen der einfacheren Lesbarkeit wird auf die geschlechtsspezifische Differenzierung, z.B. Benutzer/-innen, verzichtet. Entsprechende Begriffe gelten im Sinne der Gleichbehandlung grundsätzlich für beide Geschlechter.

EinleitungPermanenter Link zu dieser Überschrift

Eine Kerberos-Authentifizierung kann für folgende Szenarien verwendet werden:

  • Ein Connector arbeitet als Kerberos-Benutzer. Siehe Abschnitt „Connector Authentifizierung mit Kerberos“
  • Benutzer können sich als Kerberos-Benutzer bei der Suche anmelden. Siehe Abschnitt „Client Authentifizierung mit Kerberos“

Folgende Voraussetzungen müssen gegeben sein:

VoraussetzungenPermanenter Link zu dieser Überschrift

Vorbereitung Ihrer Windows Infrastruktur (In unserem Beispiel Windows Server 2016)Permanenter Link zu dieser Überschrift

Anlegen eines neuen Hosteintrages für Ihre Appliance auf Ihrem DNS ServerPermanenter Link zu dieser Überschrift

Achtung: Der PTR Record ist notwendig.

Erstellen eines SPNs auf Ihrem Domain-ControllerPermanenter Link zu dieser Überschrift

Der SPN auch Service Principal Name genannt muss dem FQDN Ihres im vorherigen Punkt angelegten Hostnamens ihrer Appliance übereinstimmen. Die Syntax für diesen Befehlt auf ihrem Windows Domain-Controller Server lautet:

setspn -a HTTP/YOURAPPLIANCE.mydomain.com DOMAIN\serviceuser

Beispiel: setspn -a HTTP/example.academy.fabasoft.com academy\Administrator

Der Serviceuser muss dabei nicht Administrator sein. Er muss lediglich vollständige Leserechte auf das LDAP-Verzeichnis haben, damit er die Gruppenauflösung und Authentifizierung durchführen kann.

Wird nach diesem Setup auf Ihrem PC ein Login Prompt angezeigt und somit nicht automatisch Ihr angemeldeter Domainuser verwendet, so müssen Sie in den GPOs ihres Domain-Controllers-Servers das Kerberos-ticketing aktivieren. Ein wichtiger Bestandteil dabei ist die Adresse ihrer Mindbreeze Appliance zu den trusted Sites hinzuzufügen.

Connector Authentifizierung mit KerberosPermanenter Link zu dieser Überschrift

Für Kerberos-basierte Authentisierung mit Active Directory müssen Sie einen Benutzer im Active Directory anlegen, der die richtigen Berechtigungen für die Datenquelle besitzt. (Siehe Doku des jeweiligen Connectors)

Client Authentifizierung mit KerberosPermanenter Link zu dieser Überschrift

Für Kerberos-basierte Authentisierung mit Active Directory müssen Sie einen Service User im Active Directory anlegen, z.B mindbreeze.service. Bitte stellen Sie sicher, dass folgende Voraussetzungen erfüllt sind:

  • Der Benutzer ist im Active Directory vorhanden
  • Der Benutzer besitzt den Service Principal Namen HTTP/<vollqualifizierter Hostname für Mindbreeze InSpire>
  • Sie können den Service Principal Namen als Active Directory Domain Administrator in einer Windows Eingabeaufforderung mit folgendem Befehl setzen:

setspn –s HTTP/<vollqualifizierter Hostname für Mindbreeze InSpire> <domain>\<mindbreeze.service>

Beispiel:

setspn –s HTTP/search.firmenname.com firmenname\mindbreeze.service

KonfigurationPermanenter Link zu dieser Überschrift

AllgemeinPermanenter Link zu dieser Überschrift

Sie finden die Kerberos Konfiguration im Management Center unter „Setup“ „Kerberos“.

Sie müssen eine Kerberos Konfiguration erstellen, falls noch nicht vorhanden.

Dazu haben Sie folgende Möglichkeiten:

  • Automatische Ermittlung der Konfiguration mittels „Detect Config
  • Manuelle Konfiguration

Wenn Sie die automatische Ermittlung der Konfiguration werden wollen, Klicken Sie auf „Detect Config“ die DNS-Einstellungen des Betriebssystems verwendet, um den „REALM“, „Domain Controller/KDC“ und „DNS Domain“ zu ermitteln.

Voraussetzungen für die automatische Ermittlung der Konfiguration:

  • Hostname über DNS auflösbar (Forward und Reverse-Lookup)

Bei manueller Konfiguration müssen die folgende Eigenschaften setzen:

REALM

Realm der Domäne, meist Domäne in Großbuchstaben

Domain Controller/KDC

Domain Controller bzw. Kerberos-Server, die verwendet werden sollen.

DNS Domain

DNS-Name der Domäne

Klicken Sie anschließend auf „Save Config“ um die Kerberos Konfiguration zu Speichern.

Beim Speichern werden verschiedene Überprüfungsschritte durchgeführt. Falls Fehler auftreten werden die betreffenden Eigenschaften rot eingefärbt und entsprechende Fehlermeldungen ausgegeben. Korrigieren Sie die eingegebenen Werte bzw. stellen Sie sicher, dass die betreffende Infrastruktur korrekt läuft und erreichbar ist. Klicken Sie anschließend erneut auf „Save Config“.

Wenn alles korrekt gespeichert ist, erscheinen unten zwei neue Sektionen:

  • Generate „Connector“ Keytab
  • Generate „Search Client“ Keytab

Connector Authentifizierung mit KerberosPermanenter Link zu dieser Überschrift

Nachdem die Kerberos Konfiguration erfolgreich gespeichert ist, klappen Sie die Sektion „Generate “Connector“ Keytab“ auf. Geben Sie nun die Anmeldedaten für den Benutzer an, mit dem der Connector arbeiten soll. In der Eigenschaft „Service User“ geben sie den vollen Benutzernamen an und in der Eigenschaft „Password“ das entsprechende Passwort.

Klicken Sie anschließend auf „Generate Keytab“.

Beim Generieren werden verschiedene Überprüfungsschritte durchgeführt. Falls Fehler auftreten werden die betreffenden Eigenschaften rot eingefärbt und entsprechende Fehlermeldungen ausgegeben. Korrigieren Sie die eingegebenen Werte bzw. stellen Sie sicher, dass die betreffende Infrastruktur korrekt läuft und erreichbar ist. Klicken Sie anschließend erneut auf „Generate Keytab“.

Wenn die Daten korrekt sind, erscheint unten eine neue Sektion „“Connector“ Keytab“:

Die im Keytab enthaltenen Einträge werden in einer Tabelle dargestellt. Zum Herunterladen des Keytab-Datei klicken Sie auf „Download Keytab-File“. Notieren Sie sich den „Principal“-Namen (Benutzername) dieser wird später benötigt.

Wechseln Sie anschließend im Management Center zum Abschnitt „Configuration“ und wählen Sie dort den Tab „Authentication“ aus. Wählen Sie die heruntergeladene Keytab-Datei aus und klicken Sie auf „Upload“.

Nach dem erfolgreichen Upload erscheint die Keytab-Datei in der Liste „Available Keytabs“.

Anschließend wählen Sie im Abschnitt „Setup Kerberos Authentication“ für den Connector die gewünschte Keytab-Datei aus und setzen sie den Principal-Name, welchen Sie vorhin notiert haben.

Speichern Sie anschließend die Konfiguration und starten sie neu.

Client Authentifizierung mit KerberosPermanenter Link zu dieser Überschrift

Nachdem die Kerberos Konfiguration erfolgreich gespeichert ist, klappen Sie die Sektion „Generate “Search Client“ Keytab“ auf. Geben Sie unter „Client Hostname“ jenen Hostnamen an, den Sie für das Client-Service verwenden wollen. Geben Sie nun die Anmeldedaten für den Service Benutzer ein. In der Eigenschaft „Service User“ geben sie den vollen Benutzernamen an und in der Eigenschaft „Password“ das entsprechende Passwort.

Klicken Sie anschließend auf „Generate Keytab“.

Beim Generieren werden verschiedene Überprüfungsschritte durchgeführt. Falls Fehler auftreten werden die betreffenden Eigenschaften rot eingefärbt und entsprechende Fehlermeldungen ausgegeben. Korrigieren Sie die eingegebenen Werte bzw. stellen Sie sicher, dass die betreffende Infrastruktur korrekt läuft und erreichbar ist. Klicken Sie anschließend erneut auf „Generate Keytab“.

Wenn die Daten korrekt sind, erscheint unten eine neue Sektion „Search Client“ Keytab“:

Die im Keytab enthaltenen Einträge werden in einer Tabelle dargestellt. Zum Herunterladen des Keytab-Datei klicken Sie auf „Download Keytab-File“. Notieren Sie sich den „Principal“-Namen (Beginnt mit „HTTP/"), dieser wird später benötigt.

Wechseln Sie anschließend im Management Center zum Abschnitt „Configuration“ und wählen Sie dort den Tab „Authentication“ aus. Wählen Sie die heruntergeladene Keytab-Datei aus und klicken Sie auf „Upload“.

Nach dem erfolgreichen Upload erscheint die Keytab-Datei in der Liste „Available Keytabs“.

Anschließend wählen Sie im Abschnitt „Setup Kerberos Authentication“ für das Client-Service die gewünschte Keytab-Datei aus und setzen sie den Principal-Name, welchen Sie vorhin notiert haben.

Speichern Sie anschließend die Konfiguration und starten sie neu.