Conectándose a través de SPNEGO / Kerberos desde el dominio

Question

Conectándose a través de SPNEGO / Kerberos desde el dominio

#1 de Jeff Stice-Hall (2 votos)

7

¿Es posible autenticarse en el servidor SPNEGO / Kerberos en el dominio A con una cuenta del mismo dominio (obviamente) cuando el cliente se está conectando desde la computadora en una de las siguientes situaciones (bastante similares)? :

el cliente se autentica en el dominio B (cuenta diferente, no hay confianza entre los dominios) o
la computadora del usuario actualmente no está autenticada contra el dominio A (inicio de sesión local, por ejemplo, al acceder a la intranet a través de VPN)

Por supuesto, ambos casos no pueden llevar a una autenticación integrada (ya que la autenticación de la computadora principal es diferente de la que se necesita en Kerberos). Sin embargo, ¿es posible con Internet Explorer (o Firefox) solicitar credenciales y usar Kerberos?

Al utilizar Kerberos, se requiere una conexión a KDC (que yo sepa). ¿Windows o el navegador pueden ubicar KDC para el SPN del servidor?

authentication kerberos

pregunta Pavel Horal 23.10.2015 - 14:09

fuente

1 respuesta

Lea otras preguntas en las etiquetas authentication kerberos

Autenticación de dos factores compatible con PSD2 ¿Cuál es el propósito del almacén de Autoridades de Certificación Intermedias en Windows?

score 2 · Answer 1

Estrictamente hablando, ambas situaciones no son posibles porque violan la semántica de confianza de Kerberos. Por definición, el primer escenario tiene un TGT en el dominio B y el dominio A no confía en él. Su segundo escenario es similar, excepto que es posible que ni siquiera tenga un TGT porque es solo local. (Mi declaración asume que estamos hablando sobre el uso de los tickets de Kerberos como autenticación y no en una situación en la que está pasando credenciales de texto sin formato a un servidor para luego presentarlas al KDC para su verificación).

En ambos casos, la aplicación cliente no tendrá un TGT o un ticket de servicio que sea válido en el dominio A para que el servicio HTTP valide con el KDC.

Dicho esto, hay una manera de hacer esto en su segundo caso ... pero se supone que PUEDE iniciar sesión en el dominio A, incluso si inicialmente no lo está. Esto se hace ejecutando su aplicación cliente (Firefox, IE, etc.) con un RunAs que se autentica en una cuenta de red en el dominio A. Vea la bandera / netonly de runas cmd ( enlace ). Esto funciona estableciendo otro contexto de inicio de sesión y ejecuta la aplicación como ese contexto. Windows usa el contexto de usuario de la aplicación para inicializar sus API al realizar llamadas relacionadas con Kerberos y, por lo tanto, tendrá un TGT en el dominio A para continuar su sesión.