Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 15 replies
  • Subscribers 1 subscriber
  • Views 9633 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Kerberos Authentication

anc2010
Hi folks!

We have a bothersome problem with Kerberos Authentication to the ASG HTTP/S Proxy in Active Directory SSO Mode. All clients are always falling back to NTLM but are automatically authenticated. We can prove that NTLM is still used only in network sniffer and because there's no Kerberos ticket in Windows client cache. Our ASG works with Firmware v 8.003 and is joined to a AD domain with Windows Server 2003 R2 domain controllers (joining was no problem). We use only Windows 7 clients with IE 8 at the moment to test that Proxy Authentication. All clients get the FQDN of ASG as proxy address via wpad script which resides on ASG itself. For testing purposes we have also disabled the "Automatically detect..." setting and manually entered the FQDN in IE proxy connection but unfortunately that had not the desired effect.
All's working fine so far but the failing Kerberos Authentication get on my nerves, you know?
I have tried to get Kerberos ticket via kinit from ASG shell which works like a charm and the key table is looking well. I have followed the troubleshooting hints from this link AD Troubleshooting Guide but that could not solve the problem or rather give me a hint what's the cause for above mentioned.
I have opened a ticket for this case but Astaro says that this is a client problem and can't be affected by the Proxy.

Do you have any suggestion for me what I can try else? Perhaps there is some Windows or IE setting which prevents Kerberos authentication to proxy servers?

Many thanks in advance!


This thread was automatically locked due to age.
  • 0
    I've figured out that after domain join of the ASG there are no special HTTP SPN registered to the Hostname. Rejoining the ASG doesn't solve the problem. The only SPN which are registered are the following default ones:
    HOST/
    HOST/
    The fqdn is written in lower case letters, the simple hostname is written in capital letters.
    Can somebody tell me the right SPN for ASG Proxy Kerberos, please? That should be something like: HTTP/ or HTTP/@.

    You can query that for your installation with "setspn -l ". I think without the proper SPN there should be no Kerberos Authentication to Proxy possible. Am I right?
  • 0
    I've had problems with authentication since the upgrade to v.8 as well. Windows 2003R2 Servers and XP Pro/Vista clients. I finally gave up on trying to figure it out and I'm now just skipping authentication in proxy/transparent mode and have loosened the default filter. Nothing in logs, authentication, packet, webfilter, client logs ... nothing!

    Everything was working perfect in v.7 with users in their proper groups for specific web filtering. 1) Yes, re-joining the domain, wiping the very existence of the firewall from the domain, does not help. 2) Using fqdn or ip configurations via login script to registry writes does not help. 3) I've even hacked the hosts file on the machines and does not help. 4) All client can see/ping the firewall by both IP and fqdn. 5) All logs on all DC servers authentication and security are green, no errors/warnings.

    I only upgraded because of the new license model, now it feels we are getting less out of the money we spend rather than more! Your guess is as good as mine, I quit trying.

    And don't get me started on the poor options in customizing our blocked informational pages, this issue still has not been revised and seems to not be going to in v8.100. Seems Astaro is gearing more to the home users now, I hope these free licenses pay many of your bills.
  • 0
    That seems to be a pretty frustrating thing. I wonder if there is anyone who has really tested if clients in productive environment use Kerberos indeed. Is there no one who can take a look at his registered SPN and post them here?

    I'd really appreciate your support.
  • 0
    Hi, ANC2010, and welcome to the User BB!

    Are your clients' browsers pointing to the Astaro HTTP Proxy via an FQDN instead of a numeric IP?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Hi, ANC2010, and welcome to the User BB!

    Are your clients' browsers pointing to the Astaro HTTP Proxy via an FQDN instead of a numeric IP?

    Cheers - Bob


    Hi BAlfson,

    yes the clients' browsers are using FQDN instead of IP address. No authentication dialogue is asking for credentials when I open up websites in IE, so this is fine. I see the AD usernames in Astaro logging. So authentication is working but in network sniffer you can see that the client is using NTLM instead of Kerberos to authenticate against the proxy.
    Of course there's no Kerberos ticket on the client for the Astaro HTTP service visible, too.
    Can you please verify that for your installation?
  • 0
    Our internal server is Win2003.  I reinstalled from scratch about 30 months ago.  All I did was to join the Astaro to the domain, and have done nothing more than create an HTTP Profile in AD-SSO mode.  There's no trace of NTLM.  I'm not sure how to look at a Kerberos ticket under Windows XP, but it's clearly in use.  In the other installations I've done, I've not run into the problem you're having.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Our internal server is Win2003.  I reinstalled from scratch about 30 months ago.  All I did was to join the Astaro to the domain, and have done nothing more than create an HTTP Profile in AD-SSO mode.  There's no trace of NTLM.  I'm not sure how to look at a Kerberos ticket under Windows XP, but it's clearly in use.  In the other installations I've done, I've not run into the problem you're having.

    Cheers - Bob


    Hi BAlfson,

    you can check the Kerberos ticket cache on clients with kerbtray.exe or klist.exe which are part of the Windows Server 2003 Resource Kit Tools. These tools works like a charm.
    The SPN records in AD, which are necessary for Kerberos Authentication, can be checked by "setspn -l ".
  • 0 in reply to anc2010
    The problem is solved now for us! The proxy FQDN is case-sensitive and we have used a Hostname in capital letters on ASG itself but could only use a FQDN in small letters in IE proxy settings, so Kerberos negotiation always failed.

    So we changed the ASG hostname to small letters and the Astaro support added the missing entries to Kerberos Keytable which corresponds to the SPN registered in AD.
  • 0 in reply to anc2010
    This was a problem in Version 7.*** as well... at at least one of my customers; Astaro Support did the same thing, had to add additional entries for uppercase (or lowercase, can't remember).  I was hoping they'd added some code to make this automatic.  Maybe it's in 8.100...

    CTO, Convergent Information Security Solutions, LLC

    https://www.convergesecurity.com

    Advice given as posted on this forum does not construe a support relationship or other relationship with Convergent Information Security Solutions, LLC or its subsidiaries.  Use the advice given at your own risk.

  • 0 in reply to BrucekConvergent
    Hi,

    we have the same problem here. The hostname of our ASG is written in small letters and so the FQDN in the wpad file also is.

    I also checked my local kerberos tickets using kerbtray and klist, but there is no ticket referencing to the ASG.
    I also checked the SPN using setspn -l  on my host and the domain controller and there are also both HOST-entries only.

    If I understand right, the only thing missing is the right entry on the kerberos key table? Can we manually add this or does it has to be done by the support? How can I take a look in the key table?

    Regards,

    Michael
Cookie Information Banner