使用 Citrix NetScaler 的 Kerberos 约束委派

使用 Citrix NetScaler 的 Kerberos 约束委派

我目前正在评估 Citrix NetScaler VPX (NS10.5 56.12.nc) 作为 Microsoft TMG 服务器的潜在替代品。Kerberos 约束委派是我必需功能列表的首位。

示例:通过 TMG 发布 Web 应用程序。某个 Active Directory 组的成员无权访问此站点。TMG 必须从客户端请求凭据,检查组成员身份,然后将这些凭据传递给托管该应用程序的 Web 服务器。

不幸的是,将成员资格检查移至 Web 服务器并允许客户端直接进行身份验证是不可能的。

我已经尝试了几个教程(例如http://support.citrix.com/article/CTX139133) 使用 NetScaler 来执行此操作,但无济于事。

浏览器收到的身份验证请求确实来自 NetScaler,但它返回的只是以下内容:

<HTML><HEAD><META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=UTF-8"><script type="text/javascript" src="/vpn/resources.js">
</script><script type="text/javascript" language="javascript">var Resources = new ResourceManager("/vpn/resources/{lang}", "VPN_ERRORS");</script>
</HEAD><BODY><CENTER><span id="You are not allowed to login."></span> <span id="Please contact your administrator."></span>
</CENTER><script type="text/javascript" language="javascript">Resources.Load();</script></BODY></HTML>

在我看来,这似乎“有问题”。标签 ID 中使用了空格。占位符“{lang}”未被替换为实际值。

我已阅读了文档的故障排除部分 (5.4)。每个命令都按预期返回。只有最后一个命令给我一个错误:

nskrb kgetcred --delegation-credential-cache=/tmp/imper_cache --out-cache=/tmp/kcd_cache http/myserver.domain.com

返回:

kgetcred:krb5_parse_name http/myserver.domain.com:无法找到主机 ns-t1 的领域

“ns-t1”是 NetScaler 服务器的主机名。

我真的希望有人能帮助我。

提前致谢。

问候,凯文

答案1

我遇到了同样的问题。领域需要附加到 SPN。您的示例有以下内容:

“nskrb kgetcred --delegation-credential-cache=/tmp/imper_cache --out-cache=/tmp/kcd_cache http/myserver.domain.com”

只要“DOMAIN.COM”是您的领域,请尝试以下操作:

“nskrb kgetcred --delegation-credential-cache=/tmp/imper_cache --out-cache=/tmp/kcd_cache http/[电子邮件保护]

我认为大小写对领域很重要,但我可能错了。希望这能有所帮助。

布鲁克斯

相关内容