Windows Identity
Windows Identity ist ein Identitätsdienst, der sowohl die Windows-Authentifizierte Integration als auch die manuelle Benutzereingabe verwendet, um Benutzer zu authentifizieren. In Fällen, in denen eine Passworteingabe erforderlich ist (Registrierung oder Passwortänderung), wird das Passwort im Browser mit dem öffentlichen Schlüssel des Gatekeepers verschlüsselt, um das verschlüsselte Passwort an den Gatekeeper zu senden.
Hinweis
NTLM ist ein veraltetes Protokoll, das nur älteren Specops-Kunden zur Verfügung steht. Neue Kunden werden den Identitätsdienst standardmäßig deaktiviert haben und können nur zwischen Deaktiviert oder Kerberos wählen.
Hinweis
Obwohl Sie im Specops Authentication Web sehen können, welches Protokoll aktiviert ist, können die Einstellungen nur im Gatekeeper Admin Tool geändert werden. Alle Anweisungen und Erwähnungen von Einstellungen und Parametern unten beziehen sich daher auf das Gatekeeper Admin Tool.
Die Windows-Integrierte Authentifizierung ermöglicht es, dass die Active Directory-Anmeldeinformationen der Benutzer über ihren Browser an einen Webserver weitergeleitet werden, entweder gehasht (NTLM) oder verschlüsselt (Kerberos). Die Konfiguration der Integrierten Authentifizierung für den Benutzer authentifiziert den Benutzer automatisch mit Windows Identity und gewährt das Windows Identity-Authentifizierungstoken.
Integrierte Authentifizierung aktivieren
Standardmäßig ist die Integrierte Authentifizierung für neue Kunden deaktiviert. Wenn Sie die Integrierte Authentifizierung verwenden möchten, gehen Sie wie folgt vor:
Hinweis
Es wird empfohlen, während der Installation von Gatekeepers den Kontotyp Group Managed Service Accounts zu verwenden. Weitere Informationen finden Sie unter gMSA.
- Wählen Sie im Gatekeeper Admin Tool Windows Identity aus.
- Klicken Sie im Feld Integrierte Authentifizierungseinstellungen auf Bearbeiten.
-
Wählen Sie im Dropdown-Menü Authentifizierungsprotokoll auswählen das Protokoll aus, das Sie verwenden möchten: NTLM oder Kerberos.
Hinweis
Es wird nicht empfohlen, das NTLM-Protokoll zu verwenden. NTLM ist ein veraltetes Protokoll, das weniger Sicherheit bietet. Bitte ziehen Sie in Betracht, stattdessen das Kerberos-Protokoll zu verwenden.
-
Klicken Sie auf OK.
-
Fügen Sie die Integrierte Authentifizierungs-URL zu den Lokalen Intranet in den Internetoptionen für jeden Client hinzu.
Hinweis
Dies kann durch Hinzufügen der URL zur Liste der Vertrauenswürdigen Sites in der Windows-Systemsteuerung > Internetoptionen > Sicherheitstab > Lokales Intranet > Site erfolgen, dann die URL hinzufügen. Es kann auch über die Registrierung erfolgen. Weitere Informationen dazu finden Sie hier: Alternative Möglichkeiten zum Aktualisieren vertrauenswürdiger Sites. Beachten Sie, dass der hier referenzierte Blogbeitrag sich mit einer anderen URL befasst, obwohl der Prozess derselbe ist.
NTLM
Windows New Technology LAN Manager (NTLM) ist eine Suite von Sicherheitsprotokollen, die von Microsoft angeboten werden, um die Identität von Benutzern zu authentifizieren und die Integrität und Vertraulichkeit ihrer Aktivitäten zu schützen. Im Kern ist NTLM ein Single Sign-On (SSO)-Tool, das auf einem Challenge-Response-Protokoll basiert, um den Benutzer zu bestätigen, ohne dass er ein Passwort eingeben muss.
Die Konfiguration für NTLM besteht darin, der URL zu vertrauen, die im Gatekeeper Admin Tool unter dem Windows Identity-Tab angezeigt wird. Es kann als GPO, pro Computer oder pro Benutzer bereitgestellt werden.
Hinweis
NTLM ist eine veraltete Suite von Microsoft-Sicherheitsprotokollen. NTLM wurde durch das neuere und sicherere Kerberos-Protokoll ersetzt. Wenn Sie noch NTLM verwenden, ziehen Sie bitte in Betracht, stattdessen das Kerberos-Protokoll zu verwenden.
Parameter
| Parameter | Beschreibung |
|---|---|
| Aktiver Anbieter | Gibt das derzeit für diesen Gatekeeper verwendete Protokoll an |
| Integrierte Authentifizierungs-URL | Die Authentifizierungs-URL, die zu vertrauenswürdigen Sites für alle Clients hinzugefügt werden sollte |
Kerberos
Kerberos ist ein Sicherheitsprotokoll für Computernetzwerke, das Dienstanforderungen zwischen zwei oder mehr vertrauenswürdigen Hosts über ein nicht vertrauenswürdiges Netzwerk wie das Internet authentifiziert. Es verwendet Secret-Key-Kryptographie und eine vertrauenswürdige dritte Partei zur Authentifizierung von Client-Server-Anwendungen und zur Überprüfung der Identität von Benutzern.
Kerberos stellt sicher, dass nur autorisierte Benutzer auf die Netzwerkressourcen zugreifen können. Zusätzlich bietet es AAA-Sicherheit: Authentifizierung, Autorisierung und Abrechnung.
Kerberos bietet ein sichereres und effizienteres Authentifizierungsprotokoll als sein veraltetes Gegenstück NTLM, indem es stärkere Verschlüsselung und ein reduziertes Risiko von Passwortangriffen ermöglicht.
Um Kerberos zu verwenden, ist es erforderlich, ein Group Managed Service Account (gMSA) zu verwenden. Weitere Informationen zu gMSA finden Sie hier.
Group Managed Service Account (gMSA)
Group Managed Service Account (gMSA) ist in vielerlei Hinsicht ähnlich wie Managed Service Accounts. Es verfügt über eine automatische Passwortverwaltung, ein langes Passwort, das automatisch regelmäßig aktualisiert wird. Der Unterschied zwischen Managed Service Accounts und gMSA besteht darin, dass mehrere Maschinen dasselbe Konto verwenden können. Wenn Sie also einen Dienst in einer Serverfarm ausführen und die Integrierte Authentifizierung verwenden möchten, sollten Sie gMSA verwenden. Wenn der Client ein Kerberos-Ticket anfordert, um auf den Dienst zuzugreifen, spielt es keine Rolle, welche Instanz auf der Serverfarm die Anforderung verarbeitet.
Um gMSA im Active Directory zum Laufen zu bringen und eine Voraussetzung für die Verwendung von gMSA während der Gatekeeper-Installation, muss der Domänenadministrator den Root-Schlüssel des Key Distribution Service erstellen. Das kann durch Anmelden bei einem Domänencontroller (Windows Server 2012 oder später) und Ausführen von „Add-KdsRootKey -EffectiveImmediately“ aus PowerShell, das das Windows PowerShell Active Directory-Modul installiert hat, erfolgen.
Hinweis
Auch wenn das Flag -EffectiveImmediately verwendet wird, kann es einige Zeit dauern, bis der DC den KDS-Root-Schlüssel erstellt. Get-KdsRootKey kann verwendet werden, um zu überprüfen, ob der KDS-Root-Schlüssel erstellt wurde.
Weitere Informationen zu gMSA: https://learn.microsoft.com/en-us/windows-server/security/group-managed-service-accounts/group-managed-service-accounts-overview.
Weitere Informationen zum Erstellen des KDS-Root-Schlüssels: https://learn.microsoft.com/en-us/windows-server/security/group-managed-service-accounts/create-the-key-distribution-services-kds-root-key.
gMSA während der Gatekeeper-Installation erstellen
Administratoren können den Installationsprozess das gMSA erstellen lassen oder der Administrator kann ein vorhandenes gMSA auswählen. Der Gatekeeper-Installationsassistent wird die erforderlichen Berechtigungen für die Maschine einrichten, auf der der Gatekeeper installiert ist, um die Verwendung des gMSA-Kontos zu ermöglichen. Wenn das gMSA-Konto während der Installation erstellt wird, muss der Server, der den Gatekeeper installiert, neu gestartet werden, um die erforderlichen Tokens zu erhalten, um auf das gMSA-Konto zuzugreifen. Der Neustartprozess sollte reibungslos verlaufen und den Installationsassistenten beim Anmelden erneut öffnen, der sollte dort fortfahren, wo er vor dem Neustart aufgehört hat.
Kerberos-Konfiguration
Zunächst einmal, wie im Abschnitt zur Aktivierung der Integrierten Authentifizierung erwähnt, muss die Integrierte Authentifizierungs-URL zu den Vertrauenswürdigen Sites in den Internetoptionen für jeden Client hinzugefügt werden.
Konfiguration des Service Principal Name (SPN)
Damit der Browser weiß, welches Konto er beim Kerberos Key Distribution Center (KDC) für ein Kerberos-Ticket anfragen soll, muss der Service Principal Name konfiguriert werden. Dies kann durch das Gatekeeper Admin Tool konfiguriert werden, es wird auch vom GK Admin Tool überprüft.
Die Schritte im Prozess zur Überprüfung des SPN sind wie folgt:
- Alle Gatekeeper und deren Konten nummerieren
- Überprüfen, ob ein SPN für HTTP/uniqueId.trust.specopsauthentication.com (für NA-Produktion) existiert
- Überprüfen, dass das Konto dasselbe ist wie das Konto, das die Gatekeeper ausführt
Wenn Gatekeeper unter mehreren Konten ausgeführt werden, werden Administratoren darauf hingewiesen, dass es am besten ist, als gMSA zu laufen. Die Integrierte Authentifizierung funktioniert auch, wenn mehrere Gatekeeper unter verschiedenen Konten ausgeführt werden, wenn der SPN mit dem Konto übereinstimmt, unter dem der primäre Gatekeeper läuft. Wenn jedoch der primäre Gatekeeper ausfällt, wird die Kerberos-Authentifizierung nicht mehr funktionieren.
Weitere Informationen
SPN-Generierung: https://www.chromium.org/developers/design-documents/http-authentication/
Konfiguration von Chrome zur Deaktivierung der cname-Abfrage: https://chromeenterprise.google/policies/?policy=DisableAuthNegotiateCnameLookup
Konfiguration von Edge zur Deaktivierung der cname-Abfrage: https://admx.help/?Category=EdgeChromium&Policy=Microsoft.Policies.Edge::DisableAuthNegotiateCnameLookup
Parameter
| Parameter | Beschreibung |
|---|---|
| Aktiver Anbieter | Gibt das derzeit für diesen Gatekeeper verwendete Protokoll an |
| Integrierte Authentifizierungs-URL | Die Authentifizierungs-URL, die zu vertrauenswürdigen Sites für alle Clients hinzugefügt werden sollte |
| SPN-Konfigurationsstatus | Gibt an, ob SPN konfiguriert wurde |
| SPN-Konto | Der SPN-Kontoname, falls SPN konfiguriert wurde |
Mehrere Gatekeeper
Wenn mehrere Gatekeeper konfiguriert sind, müssen alle Gatekeeper so konfiguriert werden, dass sie das Kerberos-Protokoll verwenden, damit die Integrierte Authentifizierung ordnungsgemäß funktioniert. Alle Gatekeeper müssen Zugriff auf dasselbe Kerberos-Konto haben (ansonsten funktioniert die Integrierte Authentifizierung nicht, wenn einer der Gatekeeper ausfällt).
Da alle Gatekeeper Zugriff auf dasselbe Konto haben müssen, bietet Specops Authentication Unterstützung für Group Managed Service Accounts.