Zum Inhalt

Konfigurationen für Kerberos-Abschirmungsunterstützung

Warning

Um Kerberos-Schutz zu verwenden, müssen Administratorkonten in der Protected Users-Gruppe platziert werden.
Dies zwingt die Verwendung des Kerberos-Authentifizierungsprotokolls anstelle von NTLM. Edge Gateway muss zuerst so konfiguriert sein, dass die Kerberos-Authentifizierung unterstützt wird.

Konfigurieren des Edge Gateway zur Unterstützung der Kerberos-Authentifizierung mit Konten, die in Protected Users platziert sind

Die Kerberos-Abschirmung bietet zusätzliche Verschlüsselung für den anfänglichen Austausch zwischen dem Client und dem KDC (Kerberos-Domain-Controller) unter Verwendung von Informationen, die mit einem Computerkonto verknüpft sind.

cyberelements.io oder cyberelements Cleanroom laufen vorzugsweise auf Debian-Maschinen, die nicht mit einer AD-Domäne verbunden sind, was bedeutet, dass sie keine Computerkontoinformationen auf der AD haben.
Die Konfiguration zur Unterstützung der Kerberos-Abschirmung besteht aus zwei Schritten:

  • Erstellung eines Dienstcomputerkontos im AD
  • Konfiguration der Kerberos-Schirmung auf dem Edge Gateway basierend auf dem zuvor erstellten Konto

Erstellung eines Dienstcomputerkontos

Info

Diese Seite verwendet ein Dienstkonto mit dem Namen svc_cyberelements als Beispiel. Passen Sie die folgenden Befehle dem Namen Ihres Dienstkontos an.

Warning

Wenn Sie PAW-Arbeitsplätze verwenden möchten, legen Sie dieses Dienstkonto in denselben Silo wie die Ziel-PAW-Arbeitsplätze.

Erstellen Sie zunächst im Domänencontroller ein Computerkonto mit einem Passwort, mit dem Sie Kerberos-Tickets generieren.

Um dieses Konto zu erstellen, können Sie den folgenden Powershell-Befehl aus einem Domänencontroller verwenden (die Bezeichnung des Dienstkontos im Beispiel svc_cyberelements und die gewünschte OU im Beispiel OU=Service_accounts,DC=domain,DC=local anpassen, um das Dienstkonto zu erstellen):

1
New-ADComputer -Name svc_cyberelements -SAMAccountName 'svc_cyberelements$' -AccountPassword $Null -Path 'OU=Service_accounts,DC=domain,DC=local'-KerberosEncryptionType AES256 -PasswordNeverExpires $True -Enabled $True

Verwenden Sie den folgenden Befehl, um zu überprüfen, ob das Computerkonto erstellt wurde (ersetzen Sie svc_cyberelements durch den Namen des zuvor erstellten Kontos):

1
Get-ADComputer -Identity svc_cyberelements -Properties Enabled

Dann verwenden Sie das Windows-Ktpass-Tool, um eine Keytab-Datei zu exportieren, die Verschlüsselungsschlüssel enthält, die es dem Gateway ermöglichen, die TGT abzurufen.

Example

Beispiel für die Erstellung einer svc_cyberelements.keytab-Datei mit dem Computerkonto:

1
ktpass /princ 'svc_cyberelements$@DOMAIN.LOCAL' /mapuser 'svc_cyberelements$@DOMAIN.LOCAL' +rndPass /out svc_cyberelements.keytab /crypto AES256-SHA1 /ptype KRB5_NT_SRV_HST /mapop set
Denken Sie daran, die $-Symbole am Ende der Kontonamen einzufügen und den Domainnamen in Großbuchstaben zu schreiben (erforderlich).

Akzeptieren Sie alle Bestätigungs-Aufforderungen, die durch Eingabe von y angezeigt werden können.

Dann wird der UserPrincipalName-Attributwert mit dem folgenden PowerShell-Befehl neu positioniert:

1
Set-ADComputer 'svc_cyberelements$' -UserPrincipalName 'svc_cyberelements$@DOMAIN.LOCAL'

Konfigurieren von Kerberos-Abschirmung auf der Edge Gateway

Die zuvor erzeugte Datei keytab wird abgerufen und auf den Edge Gateway -Server kopiert.
In einem Kontext, in dem mehrere keytab-Dateien erzeugt wurden und auf derselben Edge Gateway verwendet werden müssen, kombinieren Sie bitte die keytab-Dateien zu einer einzigen -Datei.

Warnung

Die keytab-Datei enthält Verschlüsselungsschlüssel. Wenn ein Angreifer sie erhält, kann er sich als das zugehörige Computerkonto aussprechen und dadurch die Sicherheit der Infrastruktur verringern.
Diese Datei sollte daher nur auf Edge Gateway gespeichert werden.

Legen Sie die Datei in das Verzeichnis /etc/ipdiva/cleanroom/.

Ändern Sie die keytab-Datei-Eigentümer in ipdivacareuser für den Benutzer und carerecord für die Gruppe, dann ändern Sie die Datei-Berechtigungen (Ändern Sie die keytab-Datei nach dem Namen Ihrer eigenen Datei):

1
2
chown ipdivacareuser:carerecord /etc/ipdiva/cleanroom/svc_cyberelements.keytab
chmod 640 /etc/ipdiva/cleanroom/svc_cyberelements.keytab

Die Konfigurationsdatei Edge Gateway /etc/ipdiva/cleanroom/xrdprecord.ini wird so geändert, dass über den Parameter keytab= der Pfad zur zuvor erstellten keytab-Datei angegeben wird.

Example

2
keytab=/etc/ipdiva/cleanroom/svc_cyberelements.keytab

In diesem Stadium sollte die Verbindung zu privilegierten RDP-Anwendungen im agentenlosen Modus (HTML5 oder anders) mit Benutzerkonten funktionieren, die zu Protected Users Die Datenbank ist in der Lage, die Daten zu erfassen, die von der Konfiguration der RDP-Anwendung Die Kommission hat die Kommission gebeten, die

Test der Konfiguration von Kerberos

Abweichung

Die folgenden Befehle kinit können nach Ausführung des folgenden Befehls (gültig bis zur Trennung der SSH- oder Konsolesitzung) weitere Logs bereitstellen:

1
export KRB5_TRACE=/dev/stdout

Lassen Sie uns beginnen, indem wir ein Kerberos-Ticket mit einem ähnlichen Befehl wie dem folgenden abrufen:

1
kinit -k -t /etc/ipdiva/cleanroom/svc_cyberelements.keytab 'svc_cyberelements$@DOMAIN.LOCAL' -c /tmp/test_kerberos

Stellen Sie sicher, dass Sie den Speicherort der Keytab-Datei, den Namen des erstellten Service-Kontos und die zugehörige Domain ersetzen.

Wenn die Kerberos-Ticket-Aufnahme erfolgreich war, sollte der folgende Befehl die Existenz eines Tickets für das Service-Konto anzeigen:

1
klist -c /tmp/test_kerberos

Wenn die Wiederherstellung erfolgreich ist, ist es notwendig, mit einem Befehl wie dem folgenden zu versuchen, ein Ticket für einen Benutzer abzurufen:

1
kinit -T /tmp/test_kerberos user@DOMAIN.LOCAL

Ersetzen Sie user@DOMAIN.LOCAL durch einen Benutzer, der sich wahrscheinlich über RDP und Kerberos-Armuring verbindet. Bitte beachten Sie, dass das Passwort dieses Benutzers angefordert wird.
Wenn die Ticket-Aufnahme erfolgreich ist, wird der folgende Befehl angezeigt:

1
klist -c

Wenn ein KDC policy rejects request while getting initial credentials Fehler angezeigt wird, bedeutet dies, dass der KDC die Ticketanfrage abgelehnt hat.

  • kinit konnte das /tmp/test_kerberos-Ticket nicht verwenden (wenn kinit es nicht verwenden kann, wird die Basis-Ticket-Anfrage ohne Fehlermeldung fortgesetzt)
  • Der Dienstcomputer ist nicht im Silo des getesteten Benutzers vorhanden. Dies geschieht, wenn AD isoliert ist und erfordert, dass der Dienstcomputer in das entsprechende Silo gesetzt wird.

Zusätzliche Informationen sind in den Sécurité Ereignisprotokollen des verwendeten Domänencontrollers (KDC) zu finden.

Nach dem Testen wird empfohlen, die erzeugten Tickets zu löschen:

1
2
kdestroy
kdestroy -c /tmp/test_kerberos

Mehrere Keytab-Dateien in einer einzigen Datei kombinieren

Wenn die cyberelements.io- oder cyberelements Cleanroom-Architektur auf einer einzigen Edge Gateway basiert, die den Zugriff auf mehrere Dritte ermöglicht, müssen alle keytab-Dateien, die für die verschiedenen Service-Konten generiert wurden, in einer einzigen keytab-Datei zusammengeführt werden.

Anmerkung

In diesem Abschnitt werden wir folgende Keytab-Dateien annehmen: /root/t0.keytab, /root/t1.keytab und /root/t2.keytab. Diese Dateien müssen an Edge Gateway gesendet worden sein.

Um die keytab Dateien zusammenzuführen, melden Sie sich bei Edge Gateway als root an und verwenden Sie dann die folgenden Befehle:

1
2
3
4
5
ktutil
rkt /root/t0.keytab
rkt /root/t1.keytab
rkt /root/t2.keytab
wkt /root/unified.keytab

Die Befehle rkt erlauben es Ihnen, so viele keytab Dateien wie nötig zu laden, und der Befehl wkt generiert eine neue keytab Datei.
Bitte ändern Sie die Dateiwege entsprechend den Dateien, die Sie besitzen.

Drücken Sie die q-Taste, um das ktutil-Dienstprogramm zu beenden.

Die unified.keytab-Datei abrufen und dem Abschnitt Configuring Kerberos shielding on the Edge Gateway folgen.