gelöst: Kerberos mit Iceweasel

Einrichten des lokalen Netzes, Verbindung zu anderen Computern und Diensten.
Antworten
chmeyer
Beiträge: 96
Registriert: 03.02.2010 21:09:12
Wohnort: RLP

gelöst: Kerberos mit Iceweasel

Beitrag von chmeyer » 03.01.2016 21:08:35

Hallo zusammen,

an meinen Debian-Rechnern im Netzwerk läuft ebenso wie bei den Windows-7-Maschinen die Benutzerauthentifizierung über Kerberos an einem Windows Active Directory.

Hier kann ich auch auf verschiedene Dienste wie z.B. Samba-Shares mit Kerberos zugreifen. Nur die Authentifizierung mit Firefox am Proxy klappt noch nicht mit Kerberos (wohl aber mit Eingabe von Benutzernamen und Passwort).
Der Firefox 38.5 ESR von Windows bekommt ohne jegliches ändern der Einstellungen sofort ins Internet, wobei der Iceweasel 38.5 von Debian Jessie hier am SSO scheitert.

Als Anleitung habe ich anschließend die von RedHat verwendet, allerdings auch ohne Erfolg:
https://access.redhat.com/documentation ... refox.html

Also:

Code: Alles auswählen

$ export NSPR_LOG_MODULES=negotiateauth:5
$ export NSPR_LOG_FILE=/tmp/moz.log
$ firefox

Leider werde ich aus dem Log von Iceweasel nicht so recht schlau, er wirkt aber auf mich so, als ob er es noch nicht mit Kerberos versucht. Wie auch immer, hier die Ausgaben:

Code: Alles auswählen

$ klist
Ticket cache: FILE:/tmp/krb5cc_11000
Default principal: user@WORK.COMPANY

Valid starting             Expires                      Service principal
03.01.2016 15:57:41  04.01.2016 01:57:26  krbtgt/WORK.COMPANY@WORK.COMPANY
              renew until 10.01.2016 15:57:41
03.01.2016 15:57:41  04.01.2016 01:57:26  DEBIAN-HOST@WORK.COMPANY
              renew until 10.01.2016 15:57:41
03.01.2016 15:57:41  04.01.2016 01:57:26  ldap/companydc.work.company@WORK.COMPANY
              renew until 10.01.2016 15:57:41
03.01.2016 15:57:43  04.01.2016 01:57:26  cifs/companydc@WORK.COMPANY
              renew until 10.01.2016 15:57:41
Im moz.log steht leider nur etwas von NTLM, nichts von Kerberos. Gehört das so?
Die Log-Einträge entstehen erst durch das (korrekte) Eingeben der Zugangsdaten.

Code: Alles auswählen

$ cat moz.log
abcd[xyz]: Writing to ntlm_auth: YR
abcd[xyz]: Writing to ntlm_auth: YR
Achja:
Mein Netzwerk heißt: WORK.company
Der Domaincontroller heißt: CompanyDC
Der Proxy heißt: CompanyProxy (und lauscht auf Port 8080) Sowohl unter Windows, als auch unter Jessie ist er als Systemweiter Proxy eingerichtet und Firefox/Iceweasel greift auf die Systemeinstellungen zu.

Neben Lösungsvorschlägen wäre ich auch dankbar für Hinweise auf ein anderes Forum, wo diese Frage evtl. besser aufgehoben sein könnte.

Danke für die Bemühungen. ;)
Zuletzt geändert von chmeyer am 07.02.2016 23:12:51, insgesamt 1-mal geändert.
Nach oben
chmeyer
Beiträge: 96
Registriert: 03.02.2010 21:09:12
Wohnort: RLP

Re: Kerberos mit Iceweasel

Beitrag von chmeyer » 11.01.2016 12:49:17

Hallo zusammen,

ein kleines Update:
Nachdem Iceweasel Kerberos völlig ignoriert hat, habe ich das Paket libgss3 installiert.
Damit nutzt Iceweasel jetzt immerhin schon Kerberos beim Zugriff auf das Webinterface des Domaincontrollers:

Code: Alles auswählen

cat moz.log
590432064[7fa521e385c0]:   service = companydc
590432064[7fa521e385c0]:   using negotiate-gss
590432064[7fa521e385c0]: entering nsAuthGSSAPI::nsAuthGSSAPI()
590432064[7fa521e385c0]: Attempting to load gss functions
590432064[7fa521e385c0]: entering nsAuthGSSAPI::Init()
590432064[7fa521e385c0]: nsHttpNegotiateAuth::GenerateCredentials() [challenge=Negotiate]
590432064[7fa521e385c0]: entering nsAuthGSSAPI::GetNextToken()
590432064[7fa521e385c0]:   leaving nsAuthGSSAPI::GetNextToken [rv=0]
590432064[7fa521e385c0]:   Sending a token of length 1554
Was mir aber immer noch nicht gelingt, ist die Authentifizierung beim Nutzen des Proxyservers. Hier erscheint im Log weiterhin nur die ein/zwei Zeilen:

Code: Alles auswählen

$ cat moz.log
abcd[xyz]: Writing to ntlm_auth: YR
abcd[xyz]: Writing to ntlm_auth: YR
Meine Einstellungen im Iceweasel:

Code: Alles auswählen

network.negotiate-auth.allow-non-fqdn;true
network.negotiate-auth.trusted-uris;companydc.WORK.company, companyproxy.WORK.company, companyproxy, companydc
network.negotiate-auth.delegation-uris;[egal]
signon.autologin.proxy;true
Für weitere Vorschläge wäre ich dankbar.
Nach oben
chmeyer
Beiträge: 96
Registriert: 03.02.2010 21:09:12
Wohnort: RLP

Re: gelöst: Kerberos mit Iceweasel

Beitrag von chmeyer » 07.02.2016 23:24:51

Puh. Nach langem hin und her habe ich die Lösung gefunden:

(0. Natürlich muss der Rechner Mitglied der Windowsdomäne sein, NTP muss installiert sein, Winbind, PAM und Samba nach einschlägigen Anleitungen installiert und konfiguriert, ...)

1. Das Paket libgss3 muss installiert sein, das hatte ich zuerst übersehen. Danach verschwinden die "ntlm_auth"-Fehlermeldungen und Kerberosmeldungen lassen sich im Log finden.

2. Es war kein Firefoxproblem. Ich weiß zwar nicht, warum die Windows-Rechner problemlos liefen (wahrscheinlich wegen NTLM), aber der Proxy (Squid) hat keine "Negotiate"-Kerberos Authentifizierung angeboten. :facepalm: Neue Version, neue Config: alles wunderbar.

3. Alles? Nein! Nicht alles. Die (virtuelle) Squid-maschine ist kein Domänenmitglied. Dann klappt aber (in der Active Directory Default-Einstellung) DNS und vor allem reverse DNS nicht richtig. -> http://wiki.squid-cache.org/ConfigExamp ... eDirectory
Also bekommt der Proxy noch einen "DNS Hostressourceneintrag (A)"

Christian
Nach oben
Antworten

Zurück zu „Netzwerk“