Windows Identity
Windows Identity ist ein Identitätsdienst, der sowohl die Windows-Authentifizierte Integration als auch die manuelle Benutzereingabe verwendet, um Benutzer zu authentifizieren. In Fällen, in denen eine Passworteingabe erforderlich ist (Registrierung oder Passwortänderung), wird das Passwort im Browser mit dem öffentlichen Schlüssel des Gatekeepers verschlüsselt, um das verschlüsselte Passwort an den Gatekeeper zu senden.
Hinweis
NTLM ist ein veraltetes Protokoll, das nur älteren Specops-Kunden zur Verfügung steht. Neue Kunden werden den Identitätsdienst standardmäßig deaktiviert haben und können nur zwischen Deaktiviert oder Kerberos wählen.
Hinweis
Während Sie im Specops Authentication Web sehen können, welches Protokoll aktiviert ist, können die Einstellungen nur im Gatekeeper Admin Tool geändert werden. Alle Anweisungen und Erwähnungen von Einstellungen und Parametern unten beziehen sich daher auf das Gatekeeper Admin Tool.
Die Windows Integrierte Authentifizierung ermöglicht es, dass die Active Directory-Anmeldeinformationen der Benutzer über ihren Browser an einen Webserver weitergeleitet werden, entweder gehasht (NTLM) oder verschlüsselt (Kerberos). Die Konfiguration der Integrierten Authentifizierung für den Benutzer authentifiziert den Benutzer automatisch mit Windows Identity und gewährt das Windows Identity-Authentifizierungstoken.
Aktivierung der Integrierten Authentifizierung
Standardmäßig ist die Integrierte Authentifizierung für neue Kunden deaktiviert. Wenn Sie die Integrierte Authentifizierung verwenden möchten, gehen Sie wie folgt vor:
Hinweis
Es wird empfohlen, während der Installation von Gatekeepers den Kontotyp Group Managed Service Accounts zu verwenden. Für weitere Informationen siehe gMSA.
- Wählen Sie im Gatekeeper Admin Tool Windows Identity.
- Klicken Sie im Feld Integrated Authentication Settings auf Bearbeiten.
-
Wählen Sie im Dropdown-Menü Select authentication protocol das Protokoll aus, das Sie verwenden möchten: NTLM oder Kerberos.
Hinweis
Es wird nicht empfohlen, das NTLM-Protokoll zu verwenden. NTLM ist ein veraltetes Protokoll, das weniger Sicherheit bietet. Bitte ziehen Sie in Betracht, stattdessen das Kerberos-Protokoll zu verwenden.
-
Klicken Sie auf OK.
-
Fügen Sie die Integrated Authentication url zu Lokales Intranet in Internetoptionen für jeden Client hinzu.
Hinweis
Dies kann durch Hinzufügen der URL zur Liste der Vertrauenswürdigen Sites in der Windows-Systemsteuerung > Internetoptionen > Sicherheitsregisterkarte > Lokales Intranet > Site erfolgen, dann die URL hinzufügen. Es kann auch über die Registrierung erfolgen. Weitere Informationen hier. Beachten Sie, dass sich der hier referenzierte Blogbeitrag mit einer anderen URL befasst, obwohl der Prozess derselbe ist.
NTLM
Windows New Technology LAN Manager (NTLM) ist eine Suite von Sicherheitsprotokollen, die von Microsoft angeboten werden, um die Identität der Benutzer zu authentifizieren und die Integrität und Vertraulichkeit ihrer Aktivitäten zu schützen. Im Kern ist NTLM ein Single Sign-On (SSO)-Tool, das auf einem Challenge-Response-Protokoll basiert, um den Benutzer zu bestätigen, ohne dass er ein Passwort eingeben muss.
Die Konfiguration für NTLM besteht darin, der URL zu vertrauen, die im Gatekeeper Admin Tool unter dem Windows Identity-Tab angezeigt wird. Es kann als GPO, pro Computer oder pro Benutzer ausgerollt werden.
Hinweis
NTLM ist eine veraltete Suite von Microsoft-Sicherheitsprotokollen. NTLM wurde durch das neuere und sicherere Kerberos-Protokoll ersetzt. Wenn Sie noch NTLM verwenden, ziehen Sie bitte in Betracht, stattdessen das Kerberos-Protokoll zu verwenden.
Parameter
| Parameter | Beschreibung |
|---|---|
| Aktiver Anbieter | Gibt das aktuell verwendete Protokoll für diesen Gatekeeper an |
| Integrierte Authentifizierungs-URL | Die Authentifizierungs-URL, die zu den vertrauenswürdigen Sites für alle Clients hinzugefügt werden sollte |
Kerberos
Kerberos ist ein Sicherheitsprotokoll für Computernetzwerke, das Dienstanforderungen zwischen zwei oder mehr vertrauenswürdigen Hosts über ein nicht vertrauenswürdiges Netzwerk wie das Internet authentifiziert. Es verwendet Geheimschlüssel-Kryptographie und eine vertrauenswürdige dritte Partei zur Authentifizierung von Client-Server-Anwendungen und zur Überprüfung der Identität der Benutzer.
Kerberos stellt sicher, dass nur autorisierte Benutzer auf die Netzwerkressourcen zugreifen können. Zusätzlich bietet es AAA-Sicherheit: Authentifizierung, Autorisierung und Abrechnung.
Kerberos bietet ein sichereres und effizienteres Authentifizierungsprotokoll als sein veraltetes Gegenstück NTLM, ermöglicht stärkere Verschlüsselung und reduziert das Risiko von Passwortangriffen.
Um Kerberos zu verwenden, ist es erforderlich, ein Group Managed Service Account (gMSA) zu verwenden. Weitere Informationen zu gMSA finden Sie hier.
Group Managed Service Account (gMSA)
Group Managed Service Account (gMSA) ist in vielerlei Hinsicht ähnlich wie Managed Service Accounts. Es verfügt über eine automatische Passwortverwaltung, ein langes Passwort, das automatisch regelmäßig aktualisiert wird. Der Unterschied zwischen Managed Service Accounts und gMSA besteht darin, dass mehrere Maschinen dasselbe Konto verwenden können. Wenn Sie also einen Dienst in einer Serverfarm ausführen und die Integrierte Authentifizierung verwenden möchten, sollten Sie gMSA verwenden. Wenn der Client ein Kerberos-Ticket anfordert, um auf den Dienst zuzugreifen, spielt es keine Rolle, welche Instanz in der Serverfarm die Anfrage verarbeitet.
Um gMSA im Active Directory zum Laufen zu bringen und als Voraussetzung für die Verwendung von gMSA während der Gatekeeper-Installation muss der Domänenadministrator den Key Distribution Service Root Key erstellen. Das kann durch Anmeldung an einem Domänencontroller (Windows Server 2012 oder später) und Ausführen von „Add-KdsRootKey -EffectiveImmediately“ in PowerShell erfolgen, das das Windows PowerShell Active Directory-Modul installiert hat.
Hinweis
Auch wenn das Flag -EffectiveImmediately verwendet wird, kann es einige Zeit dauern, bis der DC den KDS-Root-Schlüssel erstellt. Get-KdsRootKey kann verwendet werden, um zu überprüfen, ob der KDS-Root-Schlüssel erstellt wurde.
Weitere Informationen zu gMSA: https://learn.microsoft.com/en-us/windows-server/security/group-managed-service-accounts/group-managed-service-accounts-overview.
Weitere Informationen zur Erstellung des KDS-Root-Schlüssels: https://learn.microsoft.com/en-us/windows-server/security/group-managed-service-accounts/create-the-key-distribution-services-kds-root-key.
Erstellung von gMSA während der Gatekeeper-Installation
Administratoren können den Installationsprozess das gMSA erstellen lassen oder der Administrator kann ein bestehendes gMSA auswählen. Der Gatekeeper-Installationsassistent wird die notwendigen Berechtigungen für die Maschine einrichten, auf der der Gatekeeper installiert ist, um das gMSA-Konto verwenden zu dürfen. Wenn das gMSA-Konto während der Installation erstellt wird, muss der Server, der den Gatekeeper installiert, neu gestartet werden, um die notwendigen Token zu erhalten, um auf das gMSA-Konto zuzugreifen. Der Neustartprozess sollte reibungslos verlaufen und den Installationsassistenten beim Anmelden erneut öffnen, der dort fortfahren sollte, wo er vor dem Neustart aufgehört hat.
Kerberos-Konfiguration
Zunächst muss, wie im Abschnitt zur Aktivierung der Integrierten Authentifizierung erwähnt, die Integrated Authentication url zu den Vertrauenswürdigen Sites in Internetoptionen für jeden Client hinzugefügt werden.
Konfiguration des Service Principal Name (SPN)
Damit der Browser weiß, welches Konto er beim Kerberos Key Distribution Center (KDC) für ein Kerberos-Ticket anfragen soll, muss der Service Principal Name konfiguriert werden. Dies kann vom Gatekeeper Admin Tool konfiguriert werden, es wird auch vom GK Admin Tool überprüft.
Die Schritte im Prozess zur Überprüfung des SPN sind wie folgt:
- Alle Gatekeepers und deren Konten auflisten
- Überprüfen, ob ein SPN für HTTP/uniqueId.trust.specopsauthentication.com (für NA-Produktion) existiert
- Überprüfen, dass das Konto dasselbe ist wie das Konto, das die Gatekeepers ausführt
Wenn Gatekeepers unter mehreren Konten laufen, werden Administratoren darauf hingewiesen, dass es am besten ist, als gMSA zu laufen. Integrierte Authentifizierung funktioniert auch, wenn mehrere Gatekeepers unter verschiedenen Konten laufen, wenn der SPN mit dem Konto übereinstimmt, unter dem der primäre Gatekeeper läuft. Wenn jedoch der primäre Gatekeeper ausfällt, wird die Kerberos-Authentifizierung nicht mehr funktionieren.
Weitere Informationen
SPN-Generierung: https://www.chromium.org/developers/design-documents/http-authentication/
Konfiguration von Chrome zur Deaktivierung der cname-Abfrage: https://chromeenterprise.google/policies/?policy=DisableAuthNegotiateCnameLookup
Konfiguration von Edge zur Deaktivierung der cname-Abfrage: https://admx.help/?Category=EdgeChromium&Policy=Microsoft.Policies.Edge::DisableAuthNegotiateCnameLookup
Parameter
| Parameter | Beschreibung |
|---|---|
| Aktiver Anbieter | Gibt das aktuell verwendete Protokoll für diesen Gatekeeper an |
| Integrierte Authentifizierungs-URL | Die Authentifizierungs-URL, die zu den vertrauenswürdigen Sites für alle Clients hinzugefügt werden sollte |
| SPN-Konfigurationsstatus | Gibt an, ob SPN konfiguriert wurde |
| SPN-Konto | Der SPN-Kontoname, falls SPN konfiguriert wurde |
Mehrere Gatekeepers
Wenn mehrere Gatekeepers konfiguriert sind, müssen alle Gatekeepers so konfiguriert werden, dass sie das Kerberos-Protokoll verwenden, damit die Integrierte Authentifizierung ordnungsgemäß funktioniert. Alle Gatekeepers müssen Zugriff auf dasselbe Kerberos-Konto haben (ansonsten funktioniert die Integrierte Authentifizierung nicht, wenn einer der Gatekeepers ausfällt).
Da alle Gatekeepers Zugriff auf dasselbe Konto haben müssen, bietet Specops Authentication Unterstützung für Group Managed Service Accounts.