В настоящее время я оцениваю Citrix NetScaler VPX (NS10.5 56.12.nc) как потенциальную замену серверу Microsoft TMG. Ограниченное делегирование Kerberos находится в верхней части моего списка обязательных функций.
Пример: веб-приложение опубликовано через TMG. Члены определенной группы Active Directory не имеют доступа к этому сайту. TMG должен запросить учетные данные у клиента, проверить членство в группе, а затем передать эти учетные данные на веб-сервер, на котором размещено приложение.
К сожалению, перенос проверки членства на веб-сервер и разрешение клиенту аутентифицироваться напрямую не вариант.
Я пробовал несколько руководств (например, http://support.citrix.com/article/CTX139133), чтобы сделать это с помощью NetScaler, но безрезультатно.
Запрос аутентификации, который получает браузер, действительно исходит от NetScaler, но он возвращает следующее:
<HTML><HEAD><META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=UTF-8"><script type="text/javascript" src="/vpn/resources.js">
</script><script type="text/javascript" language="javascript">var Resources = new ResourceManager("/vpn/resources/{lang}", "VPN_ERRORS");</script>
</HEAD><BODY><CENTER><span id="You are not allowed to login."></span> <span id="Please contact your administrator."></span>
</CENTER><script type="text/javascript" language="javascript">Resources.Load();</script></BODY></HTML>
Мне это кажется "сломанным". Пробелы, используемые в идентификаторах тегов. Заполнитель "{lang}" не заменяется фактическим значением.
Я просмотрел раздел об устранении неполадок в документе (5.4). Каждая команда возвращается, как ожидалось. Только последний выдает ошибку:
nskrb kgetcred --delegation-credential-cache=/tmp/imper_cache --out-cache=/tmp/kcd_cache http/myserver.domain.com
Возврат:
kgetcred: krb5_parse_name http / myserver.domain.com: невозможно найти область хоста ns-t1
«ns-t1» - это имя хоста сервера NetScaler.
Я очень надеюсь, что кто-нибудь сможет мне с этим помочь.
Заранее спасибо.
С уважением, Кевин
Я столкнулся с той же проблемой. Сфера должна быть добавлена к SPN. В вашем примере есть следующее:
"nskrb kgetcred --delegation-credential-cache = / tmp / imper_cache --out-cache = / tmp / kcd_cache http / myserver.domain.com"
Пока "DOMAIN.COM" - это ваша область, попробуйте следующее:
"nskrb kgetcred --delegation-credential-cache = / tmp / imper_cache --out-cache = / tmp / kcd_cache http/myserver.domain.com@DOMAIN.COM"
Я думаю, что дело имеет значение для королевства, но я могу ошибаться. Надеюсь, это поможет.
Brooks