使用 Citrix NetScaler 的 Kerberos 约束委派

我目前正在评估 Citrix NetScaler VPX (NS10.5 56.12.nc) 作为 Microsoft TMG 服务器的潜在替代品。Kerberos 约束委派是我必需功能列表的首位。

示例：通过 TMG 发布 Web 应用程序。某个 Active Directory 组的成员无权访问此站点。TMG 必须从客户端请求凭据，检查组成员身份，然后将这些凭据传递给托管该应用程序的 Web 服务器。

不幸的是，将成员资格检查移至 Web 服务器并允许客户端直接进行身份验证是不可能的。

我已经尝试了几个教程（例如http://support.citrix.com/article/CTX139133) 使用 NetScaler 来执行此操作，但无济于事。

浏览器收到的身份验证请求确实来自 NetScaler，但它返回的只是以下内容：

<HTML><HEAD><META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=UTF-8"><script type="text/javascript" src="/vpn/resources.js">
</script><script type="text/javascript" language="javascript">var Resources = new ResourceManager("/vpn/resources/{lang}", "VPN_ERRORS");</script>
</HEAD><BODY><CENTER><span id="You are not allowed to login."></span> <span id="Please contact your administrator."></span>
</CENTER><script type="text/javascript" language="javascript">Resources.Load();</script></BODY></HTML>

在我看来，这似乎“有问题”。标签 ID 中使用了空格。占位符“{lang}”未被替换为实际值。

我已阅读了文档的故障排除部分 (5.4)。每个命令都按预期返回。只有最后一个命令给我一个错误：

nskrb kgetcred --delegation-credential-cache=/tmp/imper_cache --out-cache=/tmp/kcd_cache http/myserver.domain.com

返回：

kgetcred：krb5_parse_name http/myserver.domain.com：无法找到主机 ns-t1 的领域

“ns-t1”是 NetScaler 服务器的主机名。

我真的希望有人能帮助我。

提前致谢。

问候，凯文