Назад | Перейти на главную страницу

Прокси-проверка подлинности Kerberos - проблемы с билетами службы Kerberos

У меня есть BlueCoat ProxySG, который может аутентифицировать пользователей через Kerberos. Для него установлено значение «Прокси», поэтому для каждого нового TCP-соединения требуется аутентификация пользователя. У пользователей есть система единого входа, и их ПК автоматически передают свои учетные данные для входа в Windows по запросу сетевых служб. Проблема заключается в том, что на сайте с множеством фоновых подключений (в данном случае www.bbc.com) пользователь начнет получать всплывающие окна для учетных данных через некоторое время (большая часть страницы и изображений уже загружена к этому времени). Я считаю, что это происходит с каждым пользователем, использующим этот сайт.

При захвате пакета с ПК пользователя проверка подлинности Kerberos, похоже, работает при каждой попытке подключения (запросы GET и CONNECT), поскольку пользователь правильно передает билет службы с запросами GET / CONNECT. Но внезапно начинает обращаться к KDC за новым билетом службы ... и в этом случае он фактически выдает ошибку PRE_AUTH_REQUIRED и должен получить новый KRBTGT от KDC перед повторной попыткой TGS_REQ для прокси. Это когда кажется, что всплывающие окна для учетных данных появляются.

Заранее спасибо!

Как оказалось, проблема была вовсе не в Kerberos. Существует две настройки областей аутентификации - 1 для IWA Direct и 1 для IWA BCAAA. В области BCAAA нет аутентификации Kerberos. При подключении к bbc.com пользователь проходит проверку подлинности с использованием области Kerberos. Поскольку процесс аутентификации установлен на прокси, он требует аутентификации при каждой новой попытке подключения. Однако фоновый URL-адрес на веб-сайте BBC (возможно, на каком-то рекламном сайте) попал в другое правило политики аутентификации, которое указано перед правилом политики аутентификации Kerberos. Был установлен прокси-IP (авторизация каждые 15 минут с использованием суррогата IP), и были доступны только NTLM и обычная аутентификация. Таким образом, он представлял всплывающее окно авторизации, поскольку остальные сеансы сайта были авторизованы областью Kerberos.