Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 15 replies
  • Subscribers 1 subscriber
  • Views 9635 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Kerberos Authentication

anc2010
Hi folks!

We have a bothersome problem with Kerberos Authentication to the ASG HTTP/S Proxy in Active Directory SSO Mode. All clients are always falling back to NTLM but are automatically authenticated. We can prove that NTLM is still used only in network sniffer and because there's no Kerberos ticket in Windows client cache. Our ASG works with Firmware v 8.003 and is joined to a AD domain with Windows Server 2003 R2 domain controllers (joining was no problem). We use only Windows 7 clients with IE 8 at the moment to test that Proxy Authentication. All clients get the FQDN of ASG as proxy address via wpad script which resides on ASG itself. For testing purposes we have also disabled the "Automatically detect..." setting and manually entered the FQDN in IE proxy connection but unfortunately that had not the desired effect.
All's working fine so far but the failing Kerberos Authentication get on my nerves, you know?
I have tried to get Kerberos ticket via kinit from ASG shell which works like a charm and the key table is looking well. I have followed the troubleshooting hints from this link AD Troubleshooting Guide but that could not solve the problem or rather give me a hint what's the cause for above mentioned.
I have opened a ticket for this case but Astaro says that this is a client problem and can't be affected by the Proxy.

Do you have any suggestion for me what I can try else? Perhaps there is some Windows or IE setting which prevents Kerberos authentication to proxy servers?

Many thanks in advance!


This thread was automatically locked due to age.
Parents
  • 0
    Our internal server is Win2003.  I reinstalled from scratch about 30 months ago.  All I did was to join the Astaro to the domain, and have done nothing more than create an HTTP Profile in AD-SSO mode.  There's no trace of NTLM.  I'm not sure how to look at a Kerberos ticket under Windows XP, but it's clearly in use.  In the other installations I've done, I've not run into the problem you're having.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Our internal server is Win2003.  I reinstalled from scratch about 30 months ago.  All I did was to join the Astaro to the domain, and have done nothing more than create an HTTP Profile in AD-SSO mode.  There's no trace of NTLM.  I'm not sure how to look at a Kerberos ticket under Windows XP, but it's clearly in use.  In the other installations I've done, I've not run into the problem you're having.

    Cheers - Bob


    Hi BAlfson,

    you can check the Kerberos ticket cache on clients with kerbtray.exe or klist.exe which are part of the Windows Server 2003 Resource Kit Tools. These tools works like a charm.
    The SPN records in AD, which are necessary for Kerberos Authentication, can be checked by "setspn -l ".
  • 0 in reply to anc2010
    The problem is solved now for us! The proxy FQDN is case-sensitive and we have used a Hostname in capital letters on ASG itself but could only use a FQDN in small letters in IE proxy settings, so Kerberos negotiation always failed.

    So we changed the ASG hostname to small letters and the Astaro support added the missing entries to Kerberos Keytable which corresponds to the SPN registered in AD.
Reply
  • 0 in reply to anc2010
    The problem is solved now for us! The proxy FQDN is case-sensitive and we have used a Hostname in capital letters on ASG itself but could only use a FQDN in small letters in IE proxy settings, so Kerberos negotiation always failed.

    So we changed the ASG hostname to small letters and the Astaro support added the missing entries to Kerberos Keytable which corresponds to the SPN registered in AD.
Children
  • 0 in reply to anc2010
    This was a problem in Version 7.*** as well... at at least one of my customers; Astaro Support did the same thing, had to add additional entries for uppercase (or lowercase, can't remember).  I was hoping they'd added some code to make this automatic.  Maybe it's in 8.100...

    CTO, Convergent Information Security Solutions, LLC

    https://www.convergesecurity.com

    Advice given as posted on this forum does not construe a support relationship or other relationship with Convergent Information Security Solutions, LLC or its subsidiaries.  Use the advice given at your own risk.

  • 0 in reply to BrucekConvergent
    Hi,

    we have the same problem here. The hostname of our ASG is written in small letters and so the FQDN in the wpad file also is.

    I also checked my local kerberos tickets using kerbtray and klist, but there is no ticket referencing to the ASG.
    I also checked the SPN using setspn -l  on my host and the domain controller and there are also both HOST-entries only.

    If I understand right, the only thing missing is the right entry on the kerberos key table? Can we manually add this or does it has to be done by the support? How can I take a look in the key table?

    Regards,

    Michael
  • 0 in reply to BrucekConvergent
    Talk about reviving a long-dead thread [:)]

    Have a look here:  https://community.sophos.com/products/unified-threat-management/astaroorg/f/55/t/44463

    CTO, Convergent Information Security Solutions, LLC

    https://www.convergesecurity.com

    Advice given as posted on this forum does not construe a support relationship or other relationship with Convergent Information Security Solutions, LLC or its subsidiaries.  Use the advice given at your own risk.

Cookie Information Banner