Einrichtung von Kerberos SSO

Dieses Dokument beschreibt die Einrichtung der BlueMind-Erkennung der Kerberos-Authentifizierung in einer Windows-Infrastruktur.

Funktionsweise der Kerberos-Authentifizierung

Die Kerberos-Authentifizierung ermöglicht es Benutzern mit einem Windows-Konto, das bereits mit ihrem BlueMind-Konto verknüpft ist (über einen AD-Import), sich automatisch zu authentifizieren, ohne einen Login-Bildschirm (SSO) durchlaufen zu müssen.

Hierzu :

• Der Benutzer muss sich in einer Windows-Sitzung auf der Domäne befinden, für die das Kerberos SSO aktiviert wurde.

  Multidomain-Installation
  Bei Multi-Domain-Nachrichten kann jede Domäne ihre eigene Kerberos-Konfiguration haben. Wenn Kerberos für mehrere Domänen konfiguriert ist, muss jede Domäne ihre eigene URL haben
  Wenn Kerberos nur für eine Domäne konfiguriert ist, verwenden Sie die globale URL.

• Der Benutzer muss einen Browser verwenden, in dem SPNEGO für die globale URL von BlueMind aktiv ist.

Konfiguration von Kerberos

Konfigurationsdaten

Im weiteren Verlauf dieser Dokumentation betrachten wir die folgenden Elemente:

• BlueMinds externe URL (globale URL): bluemind.domain.tld.

• Active Directory Server (IP-Adresse oder Name des AD-Servers der Windows-Domäne): ad.domain.tld.

• Active Directory Domäne (oder Realm, entspricht der Windows-Domäne in Großbuchstaben): DOMAIN.TLD.

  ⚠️ Fügen Sie die AD-Domäne zu den Aliasnamen der BM-Domäne hinzu, wenn sie sich vom Namen der BM-Domäne unterscheidet.

Globale Url

Die gesamte Kerberos-Konfiguration erfolgt über die globale URL. Verwenden Sie nicht die URL der betreffenden Domäne, weder für die Erstellung der Keytab-Datei (und der Setspn) noch für die Konfiguration der Client-Rechner, auch wenn Kerberos für mehrere Domänen konfiguriert ist.

Wenn also die globale URL geändert wird (siehe Externe URLs), müssen alle Keytabs (und Setspn) neu generiert und alle Clients mit der neuen globalen URL neu konfiguriert werden.

Erstellen der Keytab-Datei

Die Erstellung der Keytab-Datei erfolgt in zwei Schritten.

Öffnen Sie eine Konsole cmd.exe und dann :

1. Erstellen Sie einen Benutzer für die Kerberos-Authentifizierung im ActiveDirectory, indem Sie den folgenden Befehl ausführen:
   wobei der Benutzername = bmkrb; das Passwort = krbpwd.

   setspn -A HTTP/bluemind.domain.tld bmkrb

   Der Befehl sollte ein Ergebnis zurückgeben, das den folgenden Zeilen entspricht:

   Registering ServicePrincipalNames for CN=bmkrb,CN=Users,DC=domain,DC=tld
   	HTTP/bluemind.domain.tld
   Updated object

2. Erstellen Sie die keytab-Datei mit dem folgenden Befehl:

   Windows 2012R2

   ktpass /out C:\bluemind.keytab
              /mapuser bmkrb@DOMAIN.TLD  
              /princ HTTP/bluemind.domain.tld@DOMAIN.TLD  
              /pass krbpwd 
              /kvno 0 
              /ptype KRB5_NT_PRINCIPAL

   Windows 2016 & +

   ktpass /out C:\bluemind.keytab 
              /crypto AES256-SHA1 
              /mapuser bmkrb@DOMAIN.TLD  
              /princ HTTP/bluemind.domain.tld@DOMAIN.TLD  
              /pass krbpwd 
              /kvno 0 
              /ptype KRB5_NT_PRINCIPAL

   Das Ergebnis sollte wie die folgenden Zeilen aussehen:

   Targeting domain controller: AD.domain.tld
   Using legacy password setting method
   Successfully mapped HTTP/bluemind.domain.tld to bmkrb.
   Output keytab to C:\bluemind.keytab

Aktivierung in der Administrationskonsole

1. Gehen Sie in der Administrationskonsole zu Systemverwaltung > Überwachte Domänen > Wählen Sie die Domäne > Registerkarte Sicherheit.
2. Wählen Sie den Authentifizierungsmodus Kerberos und füllen Sie das entsprechende Formular aus:
   
   • Active Directory-Domäne
   • Active Directory Server
   • Active Directory Keytab-Datei: Aktivieren Sie das Kontrollkästchen und wählen Sie die zuvor erstellte Datei.
3. Klicken Sie auf "Speichern", um die Änderungen zu speichern.

Client-Konfiguration

Der Client-Browser kann die BlueMind-Domäne als nicht vertrauenswürdig einstufen. Sie müssen dann die URL für den Zugang zu BlueMind als vertrauenswürdige Site im Browser hinzufügen.

Firefox

Die Konfiguration der vertrauenswürdigen Site erfolgt in den Einstellungen des Browsers :

• Geben Sie in der Adressleiste des Browsers :

  about:config

• Bestätigen Sie die Warnung, indem Sie auf "Risiko akzeptieren und fortfahren" klicken.

• Geben Sie in das Suchfeld :

  trusted

• Doppelklicken Sie auf die Einstellung network.negotiate-auth.trusted-uris oder klicken Sie auf den Bleistift am Ende der Zeile, um sie zu bearbeiten.

• Geben Sie die Adresse der BlueMind Domain ein (hier bluemind.domain.tld) und bestätigen Sie.

  💡 Der Parameter erscheint in Fettdruck: Dies bedeutet, dass es sich um einen geänderten Parameter handelt, der nicht mehr den Standardwert hat.

• **Starten Sie Firefox neu, damit die Änderung wirksam wird.

Microsoft Edge

Microsoft Edge wird manuell auf der Arbeitsstation konfiguriert:

• Regedit als Administrator starten
• Gehen Sie zu "HKEY_LOCAL_MACHINE\OFTWARE\PolicyMicrosoftge" und erstellen Sie die fehlenden Registrierungsschlüssel, falls erforderlich.
• Erstellen Sie den Wert vom Typ "Wert String (REG_SZ)" mit dem Namen AuthServerAllowlist und dem Wert bluemind.domain.tld.
• Neustart Edge, damit die Änderung wirksam wird.

Wenn eine Störung auftritt, stellen Sie sicher, dass die Politik berücksichtigt wird:

• Edge starten
• Geben Sie edge://policy in das Feld für die URL ein.
• Stellen Sie sicher, dass die Richtlinie AuthServerAllowlist im Abschnitt "Microsoft Edge Policies" mit dem zuvor eingegebenen Wert erscheint. Andernfalls klicken Sie auf "Strategien neu laden". Wenn es immer noch nicht erscheint, überprüfen Sie, ob Sie die Registrierung wie oben beschrieben geändert haben.

Weitere Informationen zu den Edge-Richtlinien finden Sie in der Microsoft-Dokumentation :

• https://learn.microsoft.com/en-us/deployedge/microsoft-edge-policies#windows-registry-settings-111

Weitere Informationen zur Konfiguration über GPOs finden Sie in den folgenden Dokumentationen :

• https://gpsearch.azurewebsites.net
• https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/manage/group-policy/group-policy-management-console

Chrom

Google Chrome wird manuell auf der Arbeitsstation konfiguriert:

• Regedit als Administrator starten
• Gehen Sie zu "HKEY_LOCAL_MACHINE\OFTWARE\Policies\Google\Chrome" und erstellen Sie die fehlenden Schlüssel, falls erforderlich.
• Erstellen Sie den Wert vom Typ "Wert String (REG_SZ)" mit dem Namen AuthServerAllowlist und dem Wert bluemind.domain.tld.
• **Starten Sie Chrome neu, damit die Änderung wirksam wird.

Wenn eine Störung auftritt, stellen Sie sicher, dass die Politik berücksichtigt wird:

• Chrome starten
• Geben Sie chrome://policy in das Feld für die URL ein.
• Stellen Sie sicher, dass die Richtlinie AuthServerAllowlist im Abschnitt "Chrome Policies" mit dem zuvor eingegebenen Wert erscheint. Andernfalls klicken Sie auf "Strategien neu laden". Wenn es immer noch nicht erscheint, überprüfen Sie, ob Sie die Registrierung wie oben beschrieben geändert haben.

Weitere Informationen zu den Chrome-Richtlinien finden Sie in der Google-Dokumentation :

• https://chromeenterprise.google/policies/?policy=AuthServerAllowlist

Weitere Informationen zur Konfiguration über GPOs finden Sie in den folgenden Dokumentationen :

• https://gpsearch.azurewebsites.net
• https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/manage/group-policy/group-policy-management-console

Für weitere Informationen

Lesen Sie die BlueMind-Dokumentation in Verbindung mit

• Verwaltung von Domains
• Externe URLs
• Multi-Domain-Nachrichten

Lesen Sie die folgenden Seiten

• cf. http://sammoffatt.com.au/jauthtools/Kerberos/Browser_Support
• cf. https://learn.microsoft.com/fr-fr/troubleshoot/windows-client/networking/intranet-site-identified-as-an-internet-site