Ограниченное делегирование Kerberos с использованием Citrix NetScaler

Question

Ограниченное делегирование Kerberos с использованием Citrix NetScaler

В настоящее время я оцениваю Citrix NetScaler VPX (NS10.5 56.12.nc) в качестве потенциальной замены для сервера Microsoft TMG. Kerberos Constrained Delegation находится в верхней части моего списка обязательных функций.

Пример: веб-приложение публикуется через TMG. Члены определенной группы Active Directory не имеют доступа к этому сайту. TMG должен запросить учетные данные у клиента, проверить членство в группе и затем передать эти учетные данные веб-серверу, на котором размещено приложение.

К сожалению, перенести проверку членства на веб-сервер и позволить клиенту проходить аутентификацию напрямую, не вариант.

Я пробовал несколько учебных пособий (например, http://support.citrix.com/article/CTX139133), чтобы сделать это с NetScaler, но безрезультатно.

Запрос аутентификации, который получает браузер, приходит от NetScaler, но все, что он возвращает, это:

<HTML><HEAD><META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=UTF-8"><script type="text/javascript" src="/vpn/resources.js">
</script><script type="text/javascript" language="javascript">var Resources = new ResourceManager("/vpn/resources/{lang}", "VPN_ERRORS");</script>
</HEAD><BODY><CENTER><span id="You are not allowed to login."></span> <span id="Please contact your administrator."></span>
</CENTER><script type="text/javascript" language="javascript">Resources.Load();</script></BODY></HTML>

Это выглядит "сломанным" для меня. Пробелы, используемые в идентификаторах тегов. Заполнитель "{lang}" не заменяется фактическим значением.

Я прошел раздел устранения неполадок документа (5.4). Каждая команда возвращается, как и ожидалось. Только последний дает мне ошибку:

nskrb kgetcred --delegation-credential-cache=/tmp/imper_cache --out-cache=/tmp/kcd_cache http/myserver.domain.com

Возвращает:

kgetcred: krb5_parse_name http / myserver.domain.com: невозможно найти область хоста ns-t1

"ns-t1" - это имя хоста сервера NetScaler.

Я действительно надеюсь, что кто-то может помочь мне с этим.

Заранее спасибо.

С уважением, Кевин

0

kerberos netscaler

Источник

bitfrickler 24 апр '15 в 07:25

1 ответ

Другие вопросы по тегам kerberos netscaler

Brooks3154330 16 май '15 в 21:26 2015-05-16 21:26 · Answer 1 · 2015-05-16 21:26

Я столкнулся с той же проблемой. Царство должно быть добавлено к SPN. Ваш пример имеет следующее:

"nskrb kgetcred --delegation-credential-cache = / tmp / imper_cache --out-cache = / tmp / kcd_cache http / myserver.domain.com"

Пока "DOMAIN.COM" является вашей областью, попробуйте следующее:

"nskrb kgetcred --delegation-credential-cache = / tmp / imper_cache --out-cache = / tmp / kcd_cache http/myserver.domain.com@DOMAIN.COM"

Я думаю, что дело имеет значение для королевства, но я могу ошибаться. Надеюсь, это поможет.

Brooks