Unser Einstieg in die praktische Kerberos-Umsetzung ist die Kerberos Impersonation. Wie schon in den theoretischen Grundlagen erklärt haben wir hier eine deutlich geringere Komplexität und können so deutlich schneller erste Erfolge messen. Dafür sind wir immer abhängig vom Passwort des zu authentifizierenden Benutzers. Kerberos Impersonation können wir also nur einsetzen, wenn der Anwender sich per Benutzername und Passwort anmeldet!
Die Konfiguration für Kerberos Impersonation ist denkbar einfach und basiert auf drei kleinen Schritten:
Üblicherweise realisiere ich die DNS Namensauflösung der NetScaler Installationen immer über einen eigenen Loadbalancing vServer. Für die benötigte UDP und TCP Auflösung müssen wir aber klassisch einzelne DNS Server eintragen.
Das SingleSignOn (SSO) per Kerberos Impersonation kann im Rahmen einer Session oder Traffic Policy aufgerufen werden. In unserem Beispiel nutzen wir hier eine Session Policy und wählen dann im Rahmen des Session Profiles nur den gewünschten KCD Account aus.
Und auch das Setup des KCD Account ist wirklich sehr überschaubar. Einzig der Name der Active Directory Domäne muss hier als Realm konfiguriert werden.
Zur Überprüfung des Kerberos Setup empfiehlt sich der Einsatz von Wireshark!
Brauchen Sie Beratung zur Wireshark-Implementierung?
Kontaktieren Sie uns gerne unverbindlich hier.