Protected Users Gruppe, Kerberos-Authentifizierung, AD-Siloing und PAW-Arbeitsstation

Die Sicherung von Active Directory-Verzeichnissen stellt eine große Herausforderung für die Sicherheit der Infrastruktur dar.

Die ANSSI (französische nationale Agentur für Cybersicherheit) legt besonderen Wert auf die Bedeutung der Kompartimentierung bei dieser Sicherheit und auf die Implementierung von Server-Siloing mit Kerberos-Authentifizierung. Dies wird in ihren Empfehlungen für die sichere Verwaltung von IS auf der Grundlage von AD erwähnt.

Unsere cyberelements.io und cyberelements Cleanroom Lösungen bieten eine große Flexibilität bei der Implementierung dieser Sicherheit, die in vier verschiedene Integrationsstufen unterteilt werden kann, die schrittweise angewendet werden können:

• Protected Users

  ---

  1. Implementierungsstufe

  Administratoren in der Protected Users-Gruppe (Authentifizierungsprotokoll wird von NTLM auf Kerberos umgestellt)

  Anzeige von Edge Gateway Einstellungen
  Anzeige der RDP-Anwendungs-Einstellungen

• Kerberos-Abschirmung

  ---

  1. Durchführungsstufe

  Einführung der Kerberos-Abschirmung

  Anzeige von Edge Gateway Einstellungen
  Anzeige der RDP-Anwendungs-Einstellungen

• AD-Siloing

  ---

  1. Implementierungsstufe

  Verteilung von Servern und Konten (Benutzer und Administratoren) in Silos

  Ansicht der Produktarchitektur im Kontext der AD-Siloing

• Betrieb von Arbeitsplätzen mit PAW

  ---

  1. Durchführungsstufe

  Verwendung von PAW-Arbeitsplätzen, die keinen Fernzugriff erlauben

  Überprüfen Sie die Einstellungen, die für den Zugriff auf einen PAW-Arbeitsplatz erforderlich sind

Konfiguration von RDP-Anwendungen für die Kerberos-Unterstützung

Warning

Um eine privilegierte RDP- oder privilegierte HTML5-RDP-Anwendung so zu konfigurieren, dass sie Kerberos unterstützt, müssen Sie zunächst die Konfiguration 1 der Edge Gateway (s) ausführen, die zur Verbindung mit RDP mit Kerberos verwendet werden.

Damit eine privilegierte RDP- oder HTML5-RDP-Anwendung eine Verbindung zu einem RDP-Server mit Kerberos herstellen kann, sind vier Konfigurationsbedingungen erforderlich:

1. Die SSO-Einstellung kann nicht auf Disabled eingestellt werden, daher muss sie Enabled, Fixed oder Request sein
2. Der agentenlose Modus muss aktiviert sein
3. Der eingegebene Servername muss ein FQDN sein (die Eingabe der IP-Adresse des Servers führt zu einem Ausfall der Authentifizierung).
4. Kerberos darf in den erweiterten Einstellungen der RDP- oder HTML5-RDP-Anwendung nicht deaktiviert werden.

Example

Um eine privilegierte RDP-Anwendung zu konfigurieren, um sich mit Kerberos mit dem my-rds-server RDP-Server zu verbinden, müssen Sie Folgendes tun:

• Stellen Sie die SSO-Ebene auf eine andere Einstellung als Disabled, in diesem Fall auf Enabled (1), aktivieren Sie dann den Modus ohne Agent (2) und geben Sie schließlich die FQDN des RDP-Servers (3) ein.
  
• Sich vergewissern, dass Kerberos nicht deaktiviert ist (4)

Flussdiagramm

flowchart LR 
    subgraph WAN 
        USER(User workstation) 
    end 
    subgraph Cloud or DMZ 
        MEDIA(Mediation Controller) 
    end 
    subgraph LAN 
        GW(Edge Gateway) 
        KDC(Kerberos Domain Controller) 
        RDP(RDP Server) 
    end

    USER --- |1| MEDIA --> |1| GW
    GW -.- |2| MEDIA -.-> |2| USER
    GW --> |3| KDC
    KDC -.-> |4| GW
    GW --> |5| KDC
    KDC -.-> |6| GW
    GW --> |7| RDP
    RDP -.-> |8| GW

Hold "Ctrl" to enable pan & zoom

1. Der Benutzer öffnet eine privilegierte RDP- oder HTML5-RDP-Anwendung mit Kerberos-Authentifizierungsunterstützung.
2. Der Benutzer ist im agentenlosen Modus mit dem Edge Gateway verbunden
3. Der Edge Gateway fordert vom Kerberos-Domänencontroller (KDC) ein TGT-Token an.
4. Die KDC gibt eine verschlüsselte und signierte TGT zurück
5. Der Edge Gateway fordert ein Service-Ticket mit der vorherigen TGT an
6. Die KDC gibt das mit dem Service-Schlüssel verschlüsselte Service-Ticket zurück
7. Der Edge Gateway stellt einen Zugriffsantrag an den RDP-Server einschließlich des Service-Tickets.
8. Der RDP-Server genehmigt den Zugriff auf den Dienst und die RDP-Verbindung wird initialisiert.

Konfigurieren von RDP-Anwendungen zur Unterstützung von Kerberos-Schirmung

Warning

Um eine privilegierte RDP- oder HTML5-RDP-Anwendung erfolgreich so zu konfigurieren, dass sie Kerberos-Shielding unterstützt, müssen Sie zunächst die Konfigurationen 1 und 2 für die Edge-Gateways, die zur Verbindung mit RDP mit Kerberos-Shielding verwendet werden, ausfüllen.

Damit eine privilegierte RDP- oder HTML5-RDP-Anwendung eine Verbindung zu einem RDP-Server mit Kerberos-Beschirmung herstellen kann, sind fünf Konfigurationsbedingungen erforderlich:

1. Die SSO-Einstellung kann nicht auf Disabled eingestellt werden, daher muss sie Enabled, Fixed oder Request sein
2. Der agentenlose Modus muss aktiviert sein
3. Der eingegebene Servername muss ein FQDN sein (die Eingabe der IP-Adresse des Servers führt zu einem Ausfall der Authentifizierung).
4. Kerberos darf in den erweiterten Einstellungen der RDP- oder HTML5-RDP-Anwendung nicht deaktiviert werden.
5. Name des Dienstcomputerkontos, der für die Kerberos-Abschirmung verwendet werden soll, durch Hinzufügen eines $ am Ende

Example

Um eine privilegierte RDP-Anwendung zu konfigurieren, um sich im Kerberos-geschützten Modus mit dem my-rds-server RDP-Server über das svc_cyberelements Computerkonto zu verbinden, müssen Sie Folgendes tun:

• Stellen Sie die SSO-Ebene auf eine andere Einstellung als Disabled, in diesem Fall auf Enabled (1), aktivieren Sie dann den Modus ohne Agent (2) und geben Sie schließlich die FQDN des RDP-Servers (3) ein.
  
• Sorgen Sie dafür, dass Kerberos nicht deaktiviert ist (4) und dass der Dienstcomputer-Konto-Name angegeben ist, und denken Sie daran, das Zeichen $ (5) hinzuzufügen.

Flussdiagramm

flowchart LR 
    subgraph WAN 
        USER(User workstation) 
    end 
    subgraph Cloud or DMZ 
        MEDIA(Mediation Controller) 
    end 
    subgraph LAN 
        GW(Edge Gateway) 
        KDC(Kerberos Domain Controller) 
        RDP(RDP Server) 
    end

    USER --- |1| MEDIA --> |1| GW
    GW -.- |2| MEDIA -.-> |2| USER
    GW --> |3| KDC
    KDC -.-> |4| GW
    GW --> |5| KDC
    KDC -.-> |6| GW
    GW --> |7| RDP
    RDP -.-> |8| GW

Hold "Ctrl" to enable pan & zoom

1. Der Benutzer öffnet eine privilegierte RDP- oder HTML5-RDP-Anwendung mit Kerberos-Authentifizierungsunterstützung.
2. Der Benutzer ist im agentenlosen Modus mit dem Edge Gateway verbunden
3. Der Edge Gateway fordert einen TGT-Token vom Kerberos-Domain-Controller (KDC) an, indem er die Kontoinformationen des Dienstes verwendet
4. Die KDC gibt eine verschlüsselte und signierte TGT zurück
5. Der Edge Gateway fordert ein Service-Ticket mit der vorherigen TGT an
6. Die KDC gibt das mit dem Service-Schlüssel verschlüsselte Service-Ticket zurück
7. Der Edge Gateway stellt einen Zugriffsantrag an den RDP-Server einschließlich des Service-Tickets.
8. Der RDP-Server genehmigt den Zugriff auf den Dienst und die RDP-Verbindung wird initialisiert.

Spezifische Merkmale der Architektur in einer isolierten AD-Umgebung

Warning

In einer isolierten Active Directory-Umgebung ist Kerberos normalerweise für Administratorkonten konfiguriert. die Konfigurationen 1 und 2 müssen ausgeführt werden für die Edge-Gateways, die zur Verbindung mit RDP-Servern verwendet werden.

Wenn cyberelements.io oder cyberelements Cleanroom in einer AD-silonierten Umgebung verwendet wird, muss das für die Kerberos-Abschirmung verwendete Dienstcomputerkonto einem Silo zugeordnet werden.
Dies bedeutet, dass, wenn es notwendig ist, auf RDP-Maschinen zuzugreifen, die verschiedenen Dritten gehören, es notwendig sein wird, so viele Service-Computer-Konten zu erstellen, die in den verschiedenen Drittanbieter-Zielen platziert sind.

Die Produktarchitektur kann ebenfalls beeinträchtigt werden.
Diese Änderung betrifft hauptsächlich die Anzahl der eingesetzten Edge-Gateways, bei denen es empfohlen wird, mindestens einen für den Zugriff durch einen bestimmten Dritten zu haben. Wenn der Kontext jedoch die Bereitstellung so vieler Edge-Gateways nicht zulässt, kann auch eine einzelne Edge Gateway-Architektur verwendet werden:

Multi-Edge Gateway-Architektur (empfohlen)Monoklonen Edge Gateway Architektur

flowchart LR
    subgraph WAN
        USER(User workstation)
    end
    subgraph Cloud or DMZ
        MED(Mediation Controller)
    end
    subgraph LAN
        subgraph T2
            GW-T2(Edge Gateway T2)
            RDP-T2(RDP Server T2)
        end
        subgraph T1
            GW-T1(Edge Gateway T1)
            RDP-T1(RDP Server T1)
        end
        subgraph T0
            GW-T0(Edge Gateway T0)
            KDC(Kerberos Domain Controller)
            RDP-T0(RDP Server T0)
        end
    end

    USER ==TLS/HTTPS==> MED

    MED ~~~ GW-T0
    MED ~~~ GW-T1
    MED ~~~ GW-T2

    GW-T0 ==TLS==> MED
    GW-T0 ~~~ MED
    GW-T0 ~~~ MED
    GW-T0 ~~~ MED
    GW-T0 --Kerberos/LDAPS--> KDC
    GW-T0 -..-> |RDP| RDP-T0

    GW-T1 ==TLS==> MED
    GW-T1 ~~~ MED
    GW-T1 ~~~ MED
    GW-T1 --Kerberos/LDAPS--> KDC
    GW-T1 -..-> |RDP| RDP-T1

    GW-T2 ==TLS==> MED
    GW-T2 ~~~ MED
    GW-T2 --Kerberos/LDAPS--> KDC
    GW-T2 -..-> |RDP| RDP-T2

Hold "Ctrl" to enable pan & zoom

Bei dieser Architektur ist die Konfiguration von RDP-Anwendungen identisch mit der für Kerberos-Abschirmungsunterstützung .

flowchart LR
    subgraph WAN
        USER(User workstation)
    end
    subgraph Cloud or DMZ
        MED(Mediation Controller)
    end
    subgraph LAN
        GW(Edge Gateway)
        subgraph T2
            RDP-T2(RDP Server T2)
        end
        subgraph T1
            RDP-T1(RDP Server T1)
        end
        subgraph T0
            KDC(Kerberos Domain Controller)
            RDP-T0(RDP Server T0)
        end
    end

    USER ==TLS/HTTPS==> MED

    MED ~~~ GW

    GW ==TLS==> MED
    GW ~~~ MED
    GW --Kerberos/LDAPS--> KDC
    GW-.-> |RDP| RDP-T0
    GW -.-> |RDP| RDP-T1
    GW -.-> |RDP| RDP-T2

Hold "Ctrl" to enable pan & zoom

Bei dieser Architektur ist die Konfiguration von RDP-Anwendungen identisch mit der für Kerberos-Abschirmungsunterstützung .
Sie müssen jedoch auch planen, eine keytab Datei auf die Verbindung Edge Gateway anzuwenden, die mehrere Service-Konten {target="_blank"} enthält.

Besondere Merkmale der Anbindung an einen Arbeitsplatz mit PAW

Eine PAW (Privileged Access Workstation) ist eine Arbeitsstation, die sich mit administrativen Aufgaben eines bestimmten Dritten befasst.
Aufgrund der kritischen Bedeutung dieser Arbeitsstation werden sehr häufig verbesserte Sicherheitsvorkehrungen angewandt.

Die Anwendung von cyberelements.io oder cyberelements Cleanroom ermöglicht es jedoch, eine Verbindung zur PAW-Arbeitsstation herzustellen, ohne dass im lokalen Netzwerk Dienstleistungen zur Abhörung vorhanden sind.

• Aktivierung von Remote Desktop-Diensten
• Konfiguration der lokalen Firewall, um den Zugriff auf den Remote Desktop-Dienst durch andere IP-Adressen als die der PAW-Arbeitsstation zu verbieten, oder localhost
• Die Installation eines eingebauten Edge Gateway die den lokalen Zugriff auf den Remote Desktop-Dienst der PAW-Arbeitsstation ermöglicht

Durchflussdiagramm Wechselkursdiagramm

flowchart LR
    subgraph WAN
        USER(User workstation)
    end
    subgraph Cloud or DMZ
        MED(Mediation Controller)
    end
    subgraph LAN
        subgraph T1
            GW(Edge Gateway T1)
            subgraph PAW_T1 [PAW T1]
                RDP{{RDP Server}}
                GW-WIN{{Embeded Edge Gateway}}
            end
        end
        subgraph T0
            KDC(Kerberos Domain Controller)
        end
    end

    USER ==TLS/HTTPS==> MED

    MED ~~~ GW & GW-WIN
    GW & GW-WIN ==TLS==> MED
    GW & GW-WIN ~~~ MED

    GW & PAW_T1 --> |Kerberos/LDAPS| KDC

    GW-WIN -.-> |RDP| RDP

    GW --x |No connection available| PAW_T1

Hold "Ctrl" to enable pan & zoom

flowchart LR
    subgraph WAN
        USER(User workstation)
    end
    subgraph Cloud or DMZ
        MED(Mediation Controller)
    end
    subgraph LAN
        subgraph T1
            GW(Edge Gateway T1)
            subgraph PAW_T1 [PAW T1]
                RDP{{RDP Server}}
                GW-WIN{{Embeded Edge Gateway}}
            end
        end
        subgraph T0
            KDC(Kerberos Domain Controller)
        end
    end

    USER --- |1| MED --> |1| GW
    GW -.- |2| MED -.-> |2| USER
    GW --> |3| KDC
    KDC -.-> |4| GW
    GW --> |5| KDC
    KDC -.-> |6| GW
    MED --> |7| GW & GW-WIN
    GW --- |8| MED --- |8| GW-WIN --> |8| RDP
    RDP -.- |9| GW-WIN -.- |9| MED -.-> |9| GW

Hold "Ctrl" to enable pan & zoom

1. Der Benutzer öffnet eine privilegierte RDP- oder HTML5-RDP-Anwendung mit Kerberos-Authentifizierungsunterstützung auf einer PAW-Arbeitsstation
2. Der Benutzer ist im agentenlosen Modus mit dem Edge Gateway verbunden
3. Der Edge Gateway fordert einen TGT-Token vom Kerberos-Domain-Controller (KDC) an, indem er die Kontoinformationen des Dienstes verwendet
4. Die KDC gibt eine verschlüsselte und signierte TGT zurück
5. Der Edge Gateway fordert ein Service-Ticket mit der vorherigen TGT an
6. Die KDC gibt das mit dem Service-Schlüssel verschlüsselte Service-Ticket zurück
7. Die Mediation Controller die Edge Gateway und dem eingebetteten Edge Gateway dass ein Tunnel zwischen ihnen geöffnet wurde, mit dem Tunnel durch die Mediation Controller
8. Der Edge Gateway sendet eine Zugriffsanfrage an den RDP-Server, einschließlich des Service-Tickets, über den Mediation Controller und den eingebetteten Edge Gateway
9. Der RDP-Server genehmigt den Zugriff auf den Dienst und die RDP-Verbindung wird initialisiert

Voraussetzungen für den Arbeitsplatz mit PAW

Die spezifischen Voraussetzungen, die auf der PAW-Arbeitsstation (Privileged Access Workstation) für die Verbindung mit cyberelements.io oder cyberelements Cleanroom gelten, sind wie folgt zusammengefasst:

1. Einrichtung des Remote Desktop-Dienstes
2. Ändern Sie die lokale Firewall, um den Zugriff auf den Remote Desktop-Dienst für alle Maschinen außer der PAW-Arbeitsstation selbst zu verweigern
3. Ändern Sie das Verhalten von Kerberos, um immer Ansprüche zu stellen
4. Installieren eines Windows Edge Gateway im eingebetteten Modus

Einrichtung des Remote Desktop-Dienstes

Der Remote Desktop-Dienst kann manuell aktiviert werden, wie in der Microsoft-Dokumentation Enable Remote Desktop on your PC beschrieben.
Es ist jedoch auch möglich, ein GPO zu verwenden, um den Dienst zu ermöglichen:

• Pfad zur GPO-Einstellung: Computer Configuration > Policies > Administrative Templates > Windows Components > Remote Desktop Services > Remote Desktop Session Host > Connections
• Einstellung: Allow users to connect remotely by using Remote Desktop Services
• Wert: Enabled

Änderung der Firewall-Regeln

Aus Sicherheitsgründen ist es wichtig, den Zugriff auf der Ebene der Firewall einzuschränken, um einen Zugriff von außen auf den RDP-Port zu verhindern.

Standardmäßig wird Windows, wenn RDP aktiviert ist, 2 Firewall-Regeln festlegen, die den Zugriff auf Port 3389 in UDP und TCP autorisieren.
Diese beiden Regeln müssen geändert werden, damit nur RDP-Verbindungen von der Remote-IP-Adresse 127.0.0.1 aus zulässig sind.

Wenn diese Regeln nicht vorhanden sind, müssen sie manuell auf dem Server oder über eine GPO erstellt werden.

Verhalten von Kerberos mit Panzerung ändern

Wir müssen auch das Verhalten von Kerberos ändern.

Hierzu können Sie folgende GPO einrichten:

• Pfad zur GPO-Einstellung: Computer Configuration > Policies > Administrative Templates > System > KDC
• Einstellung: KDC support for claims, compound authentication and Kerberos armoring
• Wert: Enabled, Always provide claims

Diese Änderung hat keinen Einfluss auf die Sicherheit der AD-Tiering und der erweiterten Kerberos-Implementierung.

Installieren eines Windows Edge Gateway im eingebetteten Modus

Voraussetzungen

Bevor Sie fortfahren, installieren Sie bitte ein Windows Edge Gateway auf der PAW-Arbeitsstation und verbinden Sie es mit dem Mediation Controller: Installieren Sie ein Windows Edge Gateway

Nach der Installation des Windows Edge Gateway ist es notwendig, ihn in den eingebetteten Modus zu wechseln.

Zugriff auf die Web-Schnittstelle des Mediation Controller-Servers oder Ihres cyberelements.io-Tenants mit der /console URI.

Beispiele

Wenn der Zugriff auf Mediation Controller auf seiner Web-IP-Adresse 10.0.10.10 ist, wird der Zugriff auf die Systemoberfläche die URL verwenden: [https://10.0.10.10/console] ((().

Siehe auch Mediation Controller ist möglich mit einem DNS-Namen, zum Beispiel cyberelements-cleanroom.domain.local, dann wird der Zugriff auf das Schnittstellen-System über die URL: [https://cyberelements- cleanroom.domain.local/console] ().

Wenn die Plattform verwendet wird InternetDie Datenbank ist in der Regel nicht in der Lage, die Daten zu erfassen, die von einem anderen Benutzer erstellt wurden. my-tenant Der Zugang wäre wie folgt:cyberelements.io]().
Es ist auch möglich, direkt über das [https://my-tenant] auf das Anmeldeformular der Verwaltungskonsole zuzugreifen.cyberelements.io/console] ().

Wenn Sie die Verbindung hergestellt haben, müssen Sie die Windows-Erklärung Edge Gateway aus dem Gateways Management-Modul entfernen.

Die Windows-Edge Gateway ist nun als eingebettete Edge Gateway einsetzbar.

Wenn eine Sitzung geöffnet wird, startet der Windows Edge Gateway Monitor automatisch (sieht man das Symbol in der Taskleiste). Da dieser automatische Start für PAW-Arbeitsplätze nicht erforderlich ist, muss er deaktiviert werden:

1. Öffnen Sie die regedit.exe Registrierungsschlüssel-Editor als Administrator
2. Gehen Sie zum HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Run Registrierungshöhe
3. Löschen der IPdivaGateway Monitor-Taste
4. Neustart der Arbeitsstation PAW

Konfiguration von RDP-Anwendungen zur Verbindung mit einer PAW-Arbeitsstation

Warning

Um eine privilegierte RDP- oder HTML5-RDP-Anwendung für die Verbindung mit einer PAW-Arbeitsstation zu konfigurieren, müssen Sie zunächst die Konfigurationen 1 bis 3 für die Edge-Gateways, die zur Verbindung mit den PAW-Arbeitsstationen verwendet werden, ausfüllen.

Damit eine privilegierte RDP- oder HTML5-RDP-Anwendung eine Verbindung zu einer PAW-Arbeitsstation herstellen kann, müssen sechs Konfigurationsbedingungen erfüllt sein:

1. Die SSO-Einstellung kann nicht auf Deaktiviert gesetzt werden, daher muss sie aktiviert, festgelegt oder angefordert werden
2. Der agentenlose Modus muss aktiviert sein
3. Der eingegebene Servername muss ein FQDN sein (die Eingabe der IP-Adresse des Servers führt zu einem Ausfall der Authentifizierung).
4. Konfigurieren der Routing durch eine eingebettete Edge Gateway
5. Kerberos darf in den erweiterten Einstellungen der RDP- oder HTML5-RDP-Anwendung nicht deaktiviert werden.
6. Name des Dienstcomputerkontos, der für die Kerberos-Abschirmung verwendet werden soll, durch Hinzufügen eines $ am Ende

Bedingung 4 wird durch die Konfiguration von PAW-Arbeitsplätzen verursacht, die keine Dienste im lokalen Netzwerk haben dürfen. Durch die Installation eines Edge Gateway in Form eines Windows-Programms kann letzteres nur auf Dienste zugreifen, die auf dem Localhost hören.

Example

Um eine privilegierte RDP-Anwendung zu konfigurieren, um sich im Kerberos-geschützten Modus mit dem my-rds-server RDP-Server über das svc_cyberelements Computerkonto zu verbinden, müssen Sie Folgendes tun:

• Stellen Sie die SSO-Ebene auf eine andere Einstellung als Disabled, in diesem Fall auf Enabled (1), aktivieren Sie dann den Modus wwithour agent (2), geben Sie die FQDN des RDP-Servers (3) ein und schließlich aktivieren Sie den eingebauten Edge Gateway Modus und geben Sie den Namen des Windows Edge Gateway an, der auf der PAW-Arbeitsstation (4) installiert wurde.
  
• Sorgen Sie dafür, dass Kerberos nicht deaktiviert (5) ist und dass der Dienstcomputer-Konto-Name angegeben ist, und denken Sie daran, das Zeichen $ (6) hinzuzufügen.

Defugging von RDP-Anwendungsöffnungen mit Kerberos-Authentifizierung

Um eine erste Analyse durchzuführen oder die Informationen abzurufen, die Systancia für eine erweiterte Analyse von Kerberos-Authentifizierungsfehlern benötigt, führen Sie bitte die folgenden Aktionen aus:

1. Debug-Logs aktivieren: Um dies zu tun, wechseln Sie den debug Parameter unter dem [Kerberos] Tag in true in der /etc/ipdiva/cleanroom/xrdprecord.ini Edge Gateway Serverdatei, die für die Verbindung verwendet wird. Diese Aktion kann mit dem folgenden Befehl ausgeführt werden:

   sed -i "3s/false/true/" /etc/ipdiva/cleanroom/xrdprecord.ini
   

2. Loggen Sie sich in das Benutzerportal ein und starten Sie eine privilegierte Anwendung, RDP oder RDP HTML5, im agentenlosen Modus und konfiguriert für die Verwendung von Kerberos. Beachten Sie die folgenden Informationen:

   • Zeit der Öffnung der Anwendung
   • Benutzername, der zur Verbindung mit dem RDP-Server verwendet wird

3. Auf dem Edge Gateway für die vorherige Verbindung verwendet, die folgenden Dateien abrufen:

   • /var/log/syslog: Diese Datei enthält insbesondere die Logs für den Start der Sitzung im agentenlosen Modus.
   • /var/lib/ipdiva/carerecord/log/freerdpout-<USER>-<DATE>.txt: <USER> durch den Benutzernamen und <DATE> durch das Datum und die Uhrzeit des Öffnens der Anwendung ersetzen, die im vorherigen Schritt abgerufen wurden. Diese Datei enthält Protokolle zur Errichtung der RDP-Sitzung, einschließlich der Kerberos-Authentifizierungsphase.

4. Debug-Logs deaktivieren: Um dies zu tun, wechseln Sie den debug Parameter unter dem [Kerberos] Tag in false in der /etc/ipdiva/cleanroom/xrdprecord.ini Edge Gateway Serverdatei, die für die Verbindung verwendet wird. Diese Aktion kann mit dem folgenden Befehl ausgeführt werden:

   sed -i "3s/true/false/" /etc/ipdiva/cleanroom/xrdprecord.ini