セキュリティと VPN : WebVPN/SSL VPN

Kerberos の WebVPN SSO 統合は委任 設定例を抑制しました

2015 年 11 月 26 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック

概要

この資料に Kerberos によって保護されるアプリケーションのための WebVPN 単一 サインを設定し解決する方法を(SSO)記述されています。

著者:Cisco TAC エンジニア、Michal Garcarz

前提条件

要件

Cisco では、次の項目について基本的な知識があることを推奨しています。

  • Cisco 適応性がある Securit アプライアンス(ASA) CLI 設定および Secure Socket Layer (SSL) VPN 設定
  • Kerberosサービス

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアのバージョンに基づくものです。

  • Cisco ASA ソフトウェア、バージョン 9.0 および それ 以降
  • Microsoft Windows 7 クライアント
  • Microsoft Windows 2003 Server およびそれ以降

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

背景説明

Kerberos はネットワークエンティティがセキュアな方法で互いに認証するようにするネットワーク 認証 プロトコルです。 それはネットワークエンティティへのチケットを与える信頼されたサード パーティを、Key Distribution Center (KDC)使用します。 これらのチケットはエンティティによって要求したサービスにアクセスを確認し、確認するために使用されます。

Cisco ASA 機能によって問い合わせられる Kerberos Constrained 委任(KCD)との Kerberos によって保護されるアプリケーションのための WebVPN SSO を設定することは可能性のあるです。 この機能を使うと、ASA は WebVPN 門脈ユーザに代わってがそれ Kerberos によって保護されるアクセス アプリケーション Kerberosチケットを要求できます。

WebVPN ポータルを通してそのようなアプリケーションにアクセスするとき、資格情報をもう提供する必要はありません; その代り、アカウントは WebVPN ポータルにログイン するために使用した使用されます。

KCD が詳細については ASA コンフィギュレーション ガイドのセクションをどのようにはたらかせるか知識を参照して下さい。

ASA との Kerberos 相互対話

WebVPN に関しては、ASA はユーザ(WebVPN 門脈ユーザはポータルに代わってチケットをアクセスできるので、ない Kerberosサービスにだけ)要求する必要があります。 そのため、ASA は抑制された委任のために Kerberos 拡張を使用します。 ここで、フローを示します。

  1. ASA はドメインに加入し、ASA (kcd サーバ コマンド)で資格情報が設定されているコンピューター アカウントのためのチケット(Ticket1)を入手します。 Kerberosサービスへのこのチケットはアクセスのために次 の ステップで使用されます。

  2. ユーザは Kerberos 保護されたアプリケーションへの WebVPN 門脈リンクをクリックします。

  3. ASA は(TGS-REQ)チケットを要求しますプリンシパルとしてホスト名とのコンピューター アカウントのために。 この要求はこのシナリオの cisco である WebVPN 門脈ユーザ名としてプリンシパルとの PA-FOR-USERPA-TGS-REQ フィールドが含まれています。 ステップ 1 からの Kerberosサービスのためのチケットは認証(正しい委任)のために使用されます。

  4. 応答として、ASA はコンピューター アカウントのための WebVPN ユーザ(TGS_REP)に代わって扮されたチケット(Ticket2)を受け取ります。 このチケットは WebVPN このユーザに代わってアプリケーション チケットを要求するために使用されます。

  5. ASA はアプリケーション(HTTP/test.kra-sec.cisco.com)のためのチケットを入手するために別の要求(TGS_REQ)を始めます。 この要求はステップ 4.で PA-FOR-USER フィールドなしで受け取った扮されたチケット再度 PA-TGS-REQ フィールドを、今回使用します。

  6. アプリケーションのための扮されたチケット(Ticket3)との応答(TGS_REQ)は返されます。

  7. このチケットは ASA によって保護されたサービスにアクセスするために透過的に使用され WebVPN ユーザは資格情報を入力する必要はありません。 HTTP アプリケーションに関しては、認証方式をネゴシエートするために簡単な、保護された GSS-API ネゴシエーション(SPNEGO)メカニズムは使用され正しいチケットは ASA を渡されます。

設定

トポロジ

ドメイン: kra-sec.cisco.com (10.211.0.221 または 10.211.0.216)

Internet Information Services (IIS) 7 アプリケーション: test.kra-sec.cisco.com (10.211.0.223)

ドメインコントローラ(DC): dc.kra-sec.cisco.com (10.211.0.221 または 10.211.0.216) - Windows2008

ASA: 10.211.0.162

WebVPN username/password: cisco/cisco

接続されたファイル: ASAjoin.pcap (ドメインへの正常な加入)

接続されたファイル: ASA Kerberosbad.pcap (サービスのための要求)

ドメインコントローラおよびアプリケーション 設定

ドメイン設定

既に Kerberos によって保護される機能 IIS7 アプリケーションがあっていることが仮定されます(そうでなかったら、Prerequisites セクションを読んで下さい)。 ユーザの委任があるように設定を確認して下さい:

機能ドメイン レベルが Windows サーバ 2003 年に上がるようにして下さい(少なくとも)。 デフォルトは Windows サーバ 2000 年です:

設定 して下さいサービス プリンシパル名(SPN)を

正しい委任で AD のアカウントを設定して下さい。 管理者 アカウントは使用されます。 説明する ASA 使用が、それ特定のサービス(HTTP アプリケーション)のために他のユーザ(抑制された委任)に代わってチケットを要求できる時。 発生するこれのために正しい委任はアプリケーション/サービスのために作成する必要があります。

この委任を WindowsServer の一部 2003 のサービスパック 1 サポートツールである setspn.exe の CLI によってするためにこのコマンドを入力して下さい:

setspn.exe -A HTTP/test.kra-sec.cisco.com kra-sec.cisco.com\Administrator

これは管理者のユーザ名が test.kra-sec.cisco.com に HTTP サービスの委任のための信頼されたアカウントであることを示します。

SPN コマンドはそのユーザ向けの委任タブをアクティブにしてまた必要です。 コマンドを入力すれば、管理者のための委任タブは現われます。 「使用 Kerberos」は抑制された委任 拡張だけをサポートしませんので「使用 有効に することは重要あらゆる認証プロトコルです」、を。

General タブで、Kerberos 事前認証をディセーブルにすることもまた可能性のあるです。 ただし、これはリプレイアタックから DC を保護するためにこの機能が使用されるので、助言されません。 ASA は事前認証を正しく使用できます。

このプロシージャはまたコンピューター アカウントのための委任と適用されます(「信頼」関係を確立するために ASA はコンピュータとしてドメインに持って来られます):

ASA の設定

interface Vlan211
  nameif inside
  security-level 100
  ip address 10.211.0.162 255.255.255.0

hostname KRA-S-ASA-05
domain-name kra-sec.cisco.com

dns domain-lookup inside
dns server-group DNS-GROUP
  name-server 10.211.0.221
domain-name kra-sec.cisco.com

aaa-server KerberosGroup protocol kerberos
aaa-server KerberosGroup (inside) host 10.211.0.221
  kerberos-realm KRA-SEC.CISCO.COM

webvpn
  enable outside
  enable inside
  kcd-server KerberosGroup username Administrator password *****

group-policy G1 internal
group-policy G1 attributes
  WebVPN
    url-list value KerberosProtected
username cisco password 3USUcOPFUiMCO4Jk encrypted
tunnel-group WEB type remote-access
tunnel-group WEB general-attributes
  default-group-policy G1
tunnel-group WEB webvpn-attributes
  group-alias WEB enable
  dns-group DNS-GROUP

確認

ASA はドメインに加入します

kcd サーバ コマンドが使用された後、ASA はドメインに加入することを試みます:

********** START: KERBEROS PACKET DECODE ************
Kerberos: Message type KRB_AS_REQ
Kerberos: Option forwardable
Kerberos: Client Name KRA-S-ASA-05$
Kerberos: Client Realm KRA-SEC.CISCO.COM
Kerberos: Server Name krbtgt
Kerberos: Start time 0
Kerberos: End time -878674400
Kerberos: Renew until time -878667552
Kerberos: Nonce 0xa9db408e
Kerberos: Encryption type rc4-hmac-md5
Kerberos: Encryption type des-cbc-md5
Kerberos: Encryption type des-cbc-crc
Kerberos: Encryption type des-cbc-md4
Kerberos: Encryption type des3-cbc-sha1
********** END: KERBEROS PACKET DECODE ************
In kerberos_recv_msg
In KCD_self_tkt_process_response
********** START: KERBEROS PACKET DECODE ************
Kerberos: Message type KRB_ERROR
Kerberos: Error type: Additional pre-authentication required, -1765328359
(0x96c73a19)
Kerberos: Encrypt Type: 23 (rc4-hmac-md5)
Salt: "" Salttype: 0
Kerberos: Encrypt Type: 3 (des-cbc-md5)
Salt: "KRA-SEC.CISCO.COMhostkra-s-asa-05.kra-sec.cisco.com" Salttype: 0
Kerberos: Encrypt Type: 1 (des-cbc-crc)
Salt: "KRA-SEC.CISCO.COMhostkra-s-asa-05.kra-sec.cisco.com" Salttype: 0
Kerberos: Preauthentication type unknown
Kerberos: Preauthentication type encrypt timestamp
Kerberos: Preauthentication type unknown
Kerberos: Preauthentication type unknown
Kerberos: Server time 1360917305
Kerberos: Realm KRA-SEC.CISCO.COM
Kerberos: Server Name krbtgt
********** END: KERBEROS PACKET DECODE ************
Attempting to parse the error response from KCD server.
Kerberos library reports: "Additional pre-authentication required"
In kerberos_send_request
********** START: KERBEROS PACKET DECODE ************
Kerberos: Message type KRB_AS_REQ
Kerberos: Preauthentication type encrypt timestamp
Kerberos: Option forwardable
Kerberos: Client Name KRA-S-ASA-05$
Kerberos: Client Realm KRA-SEC.CISCO.COM
Kerberos: Server Name krbtgt
Kerberos: Start time 0
Kerberos: End time -878667256
Kerberos: Renew until time -878672192
Kerberos: Nonce 0xa9db408e
Kerberos: Encryption type rc4-hmac-md5
Kerberos: Encryption type des-cbc-md5
Kerberos: Encryption type des-cbc-crc
Kerberos: Encryption type des-cbc-md4
Kerberos: Encryption type des3-cbc-sha1
********** END: KERBEROS PACKET DECODE ************
In kerberos_recv_msg
In KCD_self_tkt_process_response
********** START: KERBEROS PACKET DECODE ************
Kerberos: Message type KRB_AS_REP
Kerberos: Client Name KRA-S-ASA-05$
Kerberos: Client Realm KRA-SEC.CISCO.COM
********** END: KERBEROS PACKET DECODE ************
INFO: Successfully stored self-ticket in cache a6588e0
KCD self-ticket retrieval succeeded.
In kerberos_close_connection
remove_req 0xcc09ad18 session 0x1 id 0
free_kip 0xcc09ad18
kerberos: work queue empty

ASA は正常にドメインに加入できます。 正しい認証の後で、ASA はプリンシパルのためのチケットを受け取ります: AS_REP パケット(Step1 に説明がある Ticket1)の管理者。

サービスのための要求

ユーザ クリック WebVPN リンク:

ASA は AS_REP パケットで受け取られるチケットが付いている扮されたチケットのための TGS_REQ を送信 します:

PA-FOR-USER 値は cisco (WebVPN ユーザ)です。 PA-TGS-REQ は Kerberosサービス 要求のために受け取ったチケットが含まれています(ASA ホスト名はプリンシパルです)。

ASA はユーザ cisco (ステップに向けの扮されたチケットとの正しい応答が 4)説明がある Ticket2 あります:

HTTP サービスのチケットのための要求はここにあります(いくつかのデバッグは明確にするために省略されます):

KRA-S-ASA-05# show WebVPN kcd 
Kerberos Realm: TEST-CISCO.COM
Domain Join   : Complete

find_spn_in_url(): URL - /
build_host_spn(): host - test.kra-sec.cisco.com
build_host_spn(): SPN - HTTP/test.kra-sec.cisco.com
KCD_unicorn_get_cred(): Attempting to retrieve required KCD tickets.
In KCD_check_cache_validity, Checking cache validity for type KCD service
ticket cache name:  and spn HTTP/test.kra-sec.cisco.com.
In kerberos_cache_open: KCD opening cache .
Cache doesn't exist!
In KCD_check_cache_validity, Checking cache validity for type KCD self ticket
cache name: a6ad760 and spn N/A.
In kerberos_cache_open: KCD opening cache a6ad760.
Credential is valid.
In KCD_check_cache_validity, Checking cache validity for type KCD impersonate
ticket cache name:  and spn N/A.
In kerberos_cache_open: KCD opening cache .
Cache doesn't exist!
KCD requesting impersonate ticket retrieval for:
        user     : cisco
        in_cache : a6ad760
        out_cache: adab04f8I
Successfully queued up AAA request to retrieve KCD tickets.
kerberos mkreq: 0x4
kip_lookup_by_sessID: kip with id 4 not found
alloc_kip 0xaceaf560
    new request 0x4 --> 1 (0xaceaf560)
add_req 0xaceaf560 session 0x4 id 1
In KCD_cred_tkt_build_request
In kerberos_cache_open: KCD opening cache a6ad760.
KCD_cred_tkt_build_request: using KRA-S-ASA-05 for principal name
In kerberos_open_connection
In kerberos_send_request

********** START: KERBEROS PACKET DECODE ************
Kerberos: Message type KRB_TGS_REQ
Kerberos: Preauthentication type ap request
Kerberos: Preauthentication type unknown
Kerberos: Option forwardable
Kerberos: Option renewable
Kerberos: Client Realm KRA-SEC.CISCO.COM
Kerberos: Server Name KRA-S-ASA-05
Kerberos: Start time 0
Kerberos: End time -1381294376
Kerberos: Renew until time 0
Kerberos: Nonce 0xe9d5fd7f
Kerberos: Encryption type rc4-hmac-md5
Kerberos: Encryption type des3-cbc-sha
Kerberos: Encryption type des-cbc-md5
Kerberos: Encryption type des-cbc-crc
Kerberos: Encryption type des-cbc-md4
********** END: KERBEROS PACKET DECODE ************
In kerberos_recv_msg
In KCD_cred_tkt_process_response

********** START: KERBEROS PACKET DECODE ************
Kerberos: Message type KRB_TGS_REP
Kerberos: Client Name cisco
Kerberos: Client Realm KRA-SEC.CISCO.COM
********** END: KERBEROS PACKET DECODE ************
KCD_unicorn_callback(): called with status: 1.
Successfully retrieved impersonate ticket for user: cisco
KCD callback requesting service ticket retrieval for:
        user     :
        in_cache : a6ad760
        out_cache: adab04f8S
        DC_cache : adab04f8I
        SPN      : HTTP/test.kra-sec.cisco.com
Successfully queued up AAA request from callback to retrieve KCD tickets.
In kerberos_close_connection
remove_req 0xaceaf560 session 0x4 id 1
free_kip 0xaceaf560
kerberos mkreq: 0x5
kip_lookup_by_sessID: kip with id 5 not found
alloc_kip 0xaceaf560
    new request 0x5 --> 2 (0xaceaf560)
add_req 0xaceaf560 session 0x5 id 2
In KCD_cred_tkt_build_request
In kerberos_cache_open: KCD opening cache a6ad760.
In kerberos_cache_open: KCD opening cache adab04f8I.
In kerberos_open_connection
In kerberos_send_request

********** START: KERBEROS PACKET DECODE ************
Kerberos: Message type KRB_TGS_REQ
Kerberos: Preauthentication type ap request
Kerberos: Option forwardable
Kerberos: Option renewable
Kerberos: Client Realm KRA-SEC.CISCO.COM
Kerberos: Server Name HTTP
Kerberos: Start time 0
Kerberos: End time -1381285944
Kerberos: Renew until time 0
Kerberos: Nonce 0x750cf5ac
Kerberos: Encryption type rc4-hmac-md5
Kerberos: Encryption type des3-cbc-sha
Kerberos: Encryption type des-cbc-md5
Kerberos: Encryption type des-cbc-crc
Kerberos: Encryption type des-cbc-md4
********** END: KERBEROS PACKET DECODE ************
In kerberos_recv_msg
In KCD_cred_tkt_process_response

********** START: KERBEROS PACKET DECODE ************
Kerberos: Message type KRB_TGS_REP
Kerberos: Client Name cisco
Kerberos: Client Realm KRA-SEC.CISCO.COM
********** END: KERBEROS PACKET DECODE ************
KCD_unicorn_callback(): called with status: 1.
Successfully retrieved service ticket
for user cisco, spn HTTP/test.kra-sec.cisco.com
In kerberos_close_connection
remove_req 0xaceaf560 session 0x5 id 2
free_kip 0xaceaf560
kerberos: work queue empty
ucte_krb_authenticate_connection(): ctx - 0xad045dd0, proto - http,
host - test.kra-sec.cisco.com
In kerberos_cache_open: KCD opening cache adab04f8S.
Source: cisco@KRA-SEC.CISCO.COM
Target: HTTP/test.kra-sec.cisco.com@KRA-SEC.CISCO.COM

ASA は HTTP サービス(ステップにのための正しい扮されたチケットを 6)説明がある Ticket3 受け取ります。

チケットは両方とも確認することができます。 最初の 1 つはアクセスされる HTTP サービスのために第 2 チケットを要求し、受け取るために使用されるユーザ向けの cisco 扮されたチケットです、:

KRA-S-ASA-05(config)# show aaa kerberos 
Default Principal: cisco@KRA-SEC.CISCO.COM
Valid Starting       Expires              Service Principal
19:38:10 CEST Oct 2 2013 05:37:33 CEST Oct 3 2013 KRA-S-ASA-05@KRA-SEC.CISCO.COM

Default Principal: cisco@KRA-SEC.CISCO.COM
Valid Starting       Expires              Service Principal
19:38:10 CEST Oct 2 2013 05:37:33 CEST Oct 3 2013
HTTP/test.kra-sec.cisco.com@KRA-SEC.CISCO.COM

この HTTP チケット(Ticket3)は HTTP アクセス(SPNEGO と)、およびユーザ向けに資格情報を提供する必要はありません使用されます。

トラブルシューティング

時々不正確な委任の問題に直面するかもしれません。 たとえば、ASA はサービス HTTP/test.kra-sec.cisco.com 使用します(5)ステップは、応答を要求するためにチケットを ERR_BADOPTION の KRB-ERROR ですが:

これは委任が正しく設定されないとき直面する典型的な問題です。 ASA は「KDC 要求された オプション」を達成できないことを報告します:

KRA-S-ASA-05# ucte_krb_get_auth_cred(): ctx = 0xcc4b5390,
WebVPN_session = 0xc919a260, protocol = 1
find_spn_in_url(): URL - /

build_host_spn(): host - test.kra-sec.cisco.com
build_host_spn(): SPN - HTTP/test.kra-sec.cisco.com
KCD_unicorn_get_cred(): Attempting to retrieve required KCD tickets.
In KCD_check_cache_validity, Checking cache validity for type KCD service ticket
cache name: and spn HTTP/test.kra-sec.cisco.com.
In kerberos_cache_open: KCD opening cache .
Cache doesn't exist!
In KCD_check_cache_validity, Checking cache validity for type KCD self ticket
cache name: a6588e0 and spn N/A.
In kerberos_cache_open: KCD opening cache a6588e0.
Credential is valid.
In KCD_check_cache_validity, Checking cache validity for type KCD impersonate
ticket cache name: and spn N/A.
In kerberos_cache_open: KCD opening cache .
Cache doesn't exist!
KCD requesting impersonate ticket retrieval for:
user : cisco
in_cache : a6588e0
out_cache: c919a260I
Successfully queued up AAA request to retrieve KCD tickets.
kerberos mkreq: 0x4
kip_lookup_by_sessID: kip with id 4 not found
alloc_kip 0xcc09ad18
new request 0x4 --> 1 (0xcc09ad18)
add_req 0xcc09ad18 session 0x4 id 1
In KCD_cred_tkt_build_request
In kerberos_cache_open: KCD opening cache a6588e0.
KCD_cred_tkt_build_request: using KRA-S-ASA-05$ for principal name
In kerberos_open_connection
In kerberos_send_request
********** START: KERBEROS PACKET DECODE ************
Kerberos: Message type KRB_TGS_REQ
Kerberos: Preauthentication type ap request
Kerberos: Preauthentication type unknown
Kerberos: Option forwardable
Kerberos: Option renewable
Kerberos: Client Realm KRA-SEC.CISCO.COM
Kerberos: Server Name KRA-S-ASA-05$
Kerberos: Start time 0
Kerberos: End time -856104128
Kerberos: Renew until time 0
Kerberos: Nonce 0xb086e4a5
Kerberos: Encryption type rc4-hmac-md5
Kerberos: Encryption type des3-cbc-sha
Kerberos: Encryption type des-cbc-md5
Kerberos: Encryption type des-cbc-crc
Kerberos: Encryption type des-cbc-md4
********** END: KERBEROS PACKET DECODE ************
In kerberos_recv_msg
In KCD_cred_tkt_process_response
********** START: KERBEROS PACKET DECODE ************
Kerberos: Message type KRB_TGS_REP
Kerberos: Client Name cisco
Kerberos: Client Realm KRA-SEC.CISCO.COM
********** END: KERBEROS PACKET DECODE ************
KCD_unicorn_callback(): called with status: 1.
Successfully retrieved impersonate ticket for user: cisco
KCD callback requesting service ticket retrieval for:
user :
in_cache : a6588e0
out_cache: c919a260S
DC_cache : c919a260I
SPN : HTTP/test.kra-sec.cisco.com
Successfully queued up AAA request from callback to retrieve KCD tickets.
In kerberos_close_connection
remove_req 0xcc09ad18 session 0x4 id 1
free_kip 0xcc09ad18
kerberos mkreq: 0x5
kip_lookup_by_sessID: kip with id 5 not found
alloc_kip 0xcc09ad18
new request 0x5 --> 2 (0xcc09ad18)
add_req 0xcc09ad18 session 0x5 id 2
In KCD_cred_tkt_build_request
In kerberos_cache_open: KCD opening cache a6588e0.
In kerberos_cache_open: KCD opening cache c919a260I.
In kerberos_open_connection
In kerberos_send_request
********** START: KERBEROS PACKET DECODE ************
Kerberos: Message type KRB_TGS_REQ
Kerberos: Preauthentication type ap request
Kerberos: Option forwardable
Kerberos: Option renewable
Kerberos: Client Realm KRA-SEC.CISCO.COM
Kerberos: Server Name HTTP
Kerberos: Start time 0
Kerberos: End time -856104568
Kerberos: Renew until time 0
Kerberos: Nonce 0xf84c9385
Kerberos: Encryption type rc4-hmac-md5
Kerberos: Encryption type des3-cbc-sha
Kerberos: Encryption type des-cbc-md5
Kerberos: Encryption type des-cbc-crc
Kerberos: Encryption type des-cbc-md4
********** END: KERBEROS PACKET DECODE ************
In kerberos_recv_msg
In KCD_cred_tkt_process_response
********** START: KERBEROS PACKET DECODE ************
Kerberos: Message type KRB_ERROR
Kerberos: Error type: KDC can't fulfill requested option, -1765328371
(0x96c73a0d)
Kerberos: Server time 1360917437
Kerberos: Realm KRA-SEC.CISCO.COM
Kerberos: Server Name HTTP
********** END: KERBEROS PACKET DECODE ************
Kerberos library reports: "KDC can't fulfill requested option"
KCD_unicorn_callback(): called with status: -3.
KCD callback called with AAA error -3.
In kerberos_close_connection
remove_req 0xcc09ad18 session 0x5 id 2
free_kip 0xcc09ad18
kerberos: work queue empty

これは基本的にキャプチャに説明がある同じ問題です-失敗は BAD_OPTION の TGS_REQ にあります。

応答が成功である場合、ASA は SPNEGO ネゴシエーションのために利用される HTTP/test.kra-sec.cisco.com サービスのためのチケットを受け取ります。 ただし、失敗が理由で、NT LAN Manager (NTLM)はネゴシエートされ、ユーザは資格情報を提供する必要があります:

SPN が 1 アカウントだけに登録されていることを確かめて下さい(前の技術情報からのスクリプト)。 このエラーを、KRB_AP_ERR_MODIFIED 受け取るとき、SPN が正しいアカウントに登録されていないことを通常意味します。 アプリケーション(IIS のアプリケーション プール)を実行するために使用されるそれはアカウントに登録している必要があります。

このエラーを受け取るとき、DC (WebVPN ユーザにユーザがないことを KRB_ERR_C_PRINCIPAL_UNKNOWN、意味します: cisco)。

ドメインに加入するときこの問題に直面するかもしれません。 ASA は AS-REP を受け取りますが、エラーの LSA レベルで失敗します: STATUS_ACCESS_DENIED:

この問題を解決するために、そのユーザ(管理者)向けの DC の事前認証を有効または無効にして下さい。

直面するかもしれない他のいくつかの問題はここにあります:

  • ドメインに加入するとき問題があるかもしれません。 DC サーバにマルチプルネットワーク インターフェイス コントローラ(NIC)アダプタ(複数の IP アドレス)があったら、ドメインにすべてにアクセスできることを確かめて下さい(Domain Name Server (DNS)応答に基づくクライアントがランダムに選択する)加入するために ASA が。

  • 管理者 アカウントのための HOST/dc.kra-sec.cisco.com として SPN を設定 しない で下さい 設定 する DC への接続をこのような理由で失うことは可能性のあるです

  • ASA はドメインに加入した後、正しいコンピューター アカウントが DC (ASA ホスト名)で作成されることを確認することは可能性のあるです。 ユーザは正しい 許可がコンピューター アカウントを追加するためにあることを確かめて下さい(この例で、管理者は正しい 許可があります)。

  • ASA の正しい Network Time Protocol (NTP) 設定を覚えていて下さい。 デフォルトで、DC は 5 分時刻のずれを受け入れます。 そのタイマーは DC で変更することができます。

  • 小さいパケット UDP/88 のための Kerberos が接続使用されることを確認して下さい。 DC からのエラーの後で、KRB5KDC_ERR_RESPONSE_TOO_BIG は TCP/88 に、クライアント切り替えます。 Windows クライアントに TCP/88 を使用させます可能性のあるですが ASA は UDP をデフォルトで使用します

  • DC: ポリシーの変更を行なうとき、gpupdate /force を覚えて下さい。

  • ASA: テスト aaa コマンドで認証をテストして下さい、しかしそれがただのシンプル認証であることを覚えて下さい。

  • DC サイトで解決するために、Kerberos デバッグを有効に することは役立ちます: Kerberos イベント ロギングを有効に する方法。 

Cisco バグ ID

関連した Cisco バグ ID のリストはここにあります:

  • Cisco バグ ID CSCsi32224 - ASA は TCP に Kerberos エラーコード 52 を受け取った後切り替えません
  • Cisco バグ ID CSCtd92673 - Kerberos認証は前auth イネーブルになったと失敗します
  • Cisco バグ ID CSCuj19601 - ASA Webvpn KCD -再度ブートするの後やっと AD に加入することを試みます
  • Cisco バグ ID CSCuh32106 - ASA KCD は 8.4.5 で前に壊れています

関連情報


関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


Document ID: 116722