Windows Identity
Windows Identity ist ein Identitätsdienst, der sowohl die Windows-Authentifizierte Integration als auch die manuelle Benutzereingabe verwendet, um Benutzer zu authentifizieren. In Fällen, in denen eine Passworteingabe erforderlich ist (Registrierung oder Passwortänderung), wird das Passwort im Browser mit dem öffentlichen Schlüssel des Gatekeepers verschlüsselt, um das verschlüsselte Passwort an den Gatekeeper zu senden.
Hinweis
NTLM ist ein veraltetes Protokoll, das nur für ältere Specops-Kunden verfügbar ist. Neue Kunden werden den Identitätsdienst standardmäßig deaktiviert haben und können nur zwischen Deaktiviert oder Kerberos wählen.
Hinweis
Während Sie im Specops Authentication Web sehen können, welches Protokoll aktiviert ist, können die Einstellungen nur im Gatekeeper Admin Tool geändert werden. Alle Anweisungen und Erwähnungen von Einstellungen und Parametern unten beziehen sich daher auf das Gatekeeper Admin Tool.
Windows Integrierte Authentifizierung ermöglicht es, dass die Active Directory-Anmeldeinformationen der Benutzer über ihren Browser an einen Webserver weitergeleitet werden, entweder gehasht (NTLM) oder verschlüsselt (Kerberos). Die Konfiguration der Integrierten Authentifizierung für den Benutzer authentifiziert den Benutzer automatisch mit Windows Identity und gewährt das Windows Identity-Authentifizierungs-Token.
Integrierte Authentifizierung aktivieren
Standardmäßig ist die Integrierte Authentifizierung für neue Kunden deaktiviert. Wenn Sie die Integrierte Authentifizierung verwenden möchten, gehen Sie wie folgt vor:
Hinweis
Es wird empfohlen, während der Installation der Gatekeeper den Kontotyp der Gruppenverwalteten Dienstkonten zu verwenden. Weitere Informationen finden Sie unter gMSA.
- Wählen Sie im Gatekeeper Admin Tool Windows-Identität aus.
- Klicken Sie im Feld Einstellungen für integrierte Authentifizierung auf Bearbeiten.
-
Wählen Sie im Dropdown-Menü Authentifizierungsprotokoll auswählen das Protokoll aus, das Sie verwenden möchten: NTLM oder Kerberos.
Hinweis
Es wird nicht empfohlen, das NTLM-Protokoll zu verwenden. NTLM ist ein veraltetes Protokoll, das weniger Sicherheit bietet. Bitte ziehen Sie in Betracht, stattdessen das Kerberos-Protokoll zu verwenden.
-
Klicken Sie auf OK.
-
Fügen Sie die URL der integrierten Authentifizierung zu den Lokalen Intranets in den Internetoptionen für jeden Client hinzu.
Hinweis
Dies kann durch Hinzufügen der URL zur Liste der Vertrauenswürdigen Sites in der Windows-Systemsteuerung > Internetoptionen > Sicherheitsregisterkarte > Lokales Intranet > Site erfolgen, dann die URL hinzufügen. Es kann auch über die Registrierung erfolgen. Weitere Informationen hierzu finden Sie hier: Alternative Möglichkeiten zum Aktualisieren vertrauenswürdiger Sites. Beachten Sie, dass der hier referenzierte Blogbeitrag eine andere URL behandelt, obwohl der Prozess derselbe ist.
NTLM
Windows New Technology LAN Manager (NTLM) ist eine Suite von Sicherheitsprotokollen, die von Microsoft angeboten werden, um die Identität der Benutzer zu authentifizieren und die Integrität und Vertraulichkeit ihrer Aktivitäten zu schützen. Im Kern ist NTLM ein Single Sign-On (SSO)-Tool, das auf einem Challenge-Response-Protokoll basiert, um den Benutzer zu bestätigen, ohne dass er ein Passwort eingeben muss.
Die Konfiguration für NTLM besteht darin, der URL zu vertrauen, die im Gatekeeper Admin Tool unter dem Windows Identity-Tab angezeigt wird. Es kann als GPO, pro Computer oder pro Benutzer ausgerollt werden.
Hinweis
NTLM ist eine veraltete Suite von Microsoft-Sicherheitsprotokollen. NTLM wurde durch das neuere und sicherere Kerberos-Protokoll ersetzt. Wenn Sie noch NTLM verwenden, ziehen Sie bitte in Betracht, stattdessen das Kerberos-Protokoll zu verwenden.
Parameter
| Parameter | Beschreibung |
|---|---|
| Aktiver Anbieter | Gibt das derzeit für diesen Gatekeeper verwendete Protokoll an |
| URL der integrierten Authentifizierung | Die Authentifizierungs-URL, die zu vertrauenswürdigen Sites für alle Clients hinzugefügt werden sollte |
Kerberos
Kerberos ist ein Sicherheitsprotokoll für Computernetzwerke, das Dienstanforderungen zwischen zwei oder mehr vertrauenswürdigen Hosts über ein nicht vertrauenswürdiges Netzwerk wie das Internet authentifiziert. Es verwendet Secret-Key-Kryptografie und eine vertrauenswürdige dritte Partei zur Authentifizierung von Client-Server-Anwendungen und zur Überprüfung der Identität der Benutzer.
Kerberos stellt sicher, dass nur autorisierte Benutzer auf die Netzwerkressourcen zugreifen können. Zusätzlich bietet es AAA-Sicherheit: Authentifizierung, Autorisierung und Abrechnung.
Kerberos bietet ein sichereres und effizienteres Authentifizierungsprotokoll als sein veraltetes Gegenstück, NTLM, und ermöglicht stärkere Verschlüsselung und ein reduziertes Risiko von Passwortangriffen.
Um Kerberos zu verwenden, ist es erforderlich, ein Gruppenverwaltetes Dienstkonto (gMSA) zu verwenden. Weitere Informationen zu gMSA finden Sie hier.
Gruppenverwaltetes Dienstkonto (gMSA)
Das Gruppenverwaltete Dienstkonto (gMSA) ist in vielerlei Hinsicht ähnlich wie verwaltete Dienstkonten. Es verfügt über eine automatische Passwortverwaltung, ein langes Passwort, das automatisch regelmäßig aktualisiert wird. Der Unterschied zwischen verwalteten Dienstkonten und gMSA besteht darin, dass mehrere Maschinen dasselbe Konto verwenden können. Wenn Sie also einen Dienst in einer Serverfarm betreiben und die Integrierte Authentifizierung verwenden möchten, sollten Sie gMSA verwenden. Wenn der Client ein Kerberos-Ticket anfordert, um auf den Dienst zuzugreifen, spielt es keine Rolle, welche Instanz in der Serverfarm die Anfrage verarbeitet.
Um gMSA im Active Directory zum Laufen zu bringen und als Voraussetzung für die Verwendung von gMSA während der Gatekeeper-Installation muss der Domänenadministrator den Root-Schlüssel des Schlüsseldistributionsdienstes erstellen. Das kann durch Anmeldung bei einem Domänencontroller (Windows Server 2012 oder höher) und Ausführung von „Add-KdsRootKey -EffectiveImmediately“ in PowerShell erfolgen, das das Windows PowerShell Active Directory-Modul installiert hat.
Hinweis
Auch wenn das Flag -EffectiveImmediately verwendet wird, kann es einige Zeit dauern, bis der DC den KDS-Root-Schlüssel erstellt. Get-KdsRootKey kann verwendet werden, um zu überprüfen, ob der KDS-Root-Schlüssel erstellt wurde.
Weitere Informationen zu gMSA: https://learn.microsoft.com/en-us/windows-server/security/group-managed-service-accounts/group-managed-service-accounts-overview.
Weitere Informationen zum Erstellen des KDS-Root-Schlüssels: https://learn.microsoft.com/en-us/windows-server/security/group-managed-service-accounts/create-the-key-distribution-services-kds-root-key.
Erstellen von gMSA während der Gatekeeper-Installation
Administratoren können den Installationsprozess das gMSA erstellen lassen oder der Administrator kann ein vorhandenes gMSA auswählen. Der Gatekeeper-Installationsassistent richtet die erforderlichen Berechtigungen für die Maschine ein, auf der der Gatekeeper installiert ist, um das gMSA-Konto verwenden zu dürfen. Wenn das gMSA-Konto während der Installation erstellt wird, muss der Server, der den Gatekeeper installiert, neu gestartet werden, um die erforderlichen Tokens zum Zugriff auf das gMSA-Konto zu erhalten. Der Neustartprozess sollte reibungslos verlaufen und den Installationsassistenten beim Anmelden erneut öffnen, der dort fortfahren sollte, wo er vor dem Neustart aufgehört hat.
Kerberos-Konfiguration
Zunächst muss, wie im Abschnitt zur Aktivierung der Integrierten Authentifizierung erwähnt, die URL der integrierten Authentifizierung zu den Vertrauenswürdigen Sites in den Internetoptionen für jeden Client hinzugefügt werden.
Konfiguration des Dienstprinzipalnamens (SPN)
Damit der Browser weiß, welches Konto er beim Kerberos-Schlüsseldistributionszentrum (KDC) für ein Kerberos-Ticket anfordern soll, muss der Dienstprinzipalname konfiguriert werden. Dies kann durch das Gatekeeper Admin Tool konfiguriert werden, es wird auch vom GK Admin Tool überprüft.
Die Schritte im Prozess zur Überprüfung des SPN sind wie folgt:
- Alle Gatekeeper und deren Konten nummerieren
- Überprüfen, ob ein SPN für HTTP/uniqueId.trust.specopsauthentication.com (für NA-Produktion) existiert
- Überprüfen, dass das Konto dasselbe ist wie das Konto, das die Gatekeeper ausführt
Wenn Gatekeeper unter mehreren Konten ausgeführt werden, werden Administratoren darauf hingewiesen, dass es am besten ist, als gMSA zu laufen. Die Integrierte Authentifizierung funktioniert auch, wenn mehrere Gatekeeper unter verschiedenen Konten ausgeführt werden, wenn der SPN mit dem Konto übereinstimmt, unter dem der primäre Gatekeeper läuft. Wenn jedoch der primäre Gatekeeper ausfällt, funktioniert die Kerberos-Authentifizierung nicht mehr.
Weitere Informationen
SPN-Generierung: https://www.chromium.org/developers/design-documents/http-authentication/
Konfiguration von Chrome zur Deaktivierung der cname-Abfrage: https://chromeenterprise.google/policies/?policy=DisableAuthNegotiateCnameLookup
Konfiguration von Edge zur Deaktivierung der cname-Abfrage: https://admx.help/?Category=EdgeChromium&Policy=Microsoft.Policies.Edge::DisableAuthNegotiateCnameLookup
Parameter
| Parameter | Beschreibung |
|---|---|
| Aktiver Anbieter | Gibt das derzeit für diesen Gatekeeper verwendete Protokoll an |
| URL der integrierten Authentifizierung | Die Authentifizierungs-URL, die zu vertrauenswürdigen Sites für alle Clients hinzugefügt werden sollte |
| SPN-Konfigurationsstatus | Gibt an, ob SPN konfiguriert wurde |
| SPN-Konto | Der SPN-Kontoname, falls SPN konfiguriert wurde |
Mehrere Gatekeeper
Wenn mehrere Gatekeeper konfiguriert sind, müssen alle Gatekeeper so konfiguriert werden, dass sie das Kerberos-Protokoll verwenden, damit die Integrierte Authentifizierung ordnungsgemäß funktioniert. Alle Gatekeeper müssen Zugriff auf dasselbe Kerberos-Konto haben (ansonsten funktioniert die Integrierte Authentifizierung nicht, wenn einer der Gatekeeper ausfällt).
Da alle Gatekeeper Zugriff auf dasselbe Konto haben müssen, bietet Specops Authentication Unterstützung für Gruppenverwaltete Dienstkonten.