简介
本文如何描述对overocme问题,当验证通过思科Web安全工具时(WSA)失效,当客户端使用NEGOEXTS时。
背景信息
思科Web安全工具(WSA)能验证用户运用根据用户或组的策略。是可用的其中一个方法是Kerberos。当使用Kerberos作为认证方法在包含报头的标识时,对客户端的HTTP请求的WSA回复与一401 (透明)或407 (明确) HTTP响应WWW验证:协商。 这时,客户端发送与授权的一个新的HTTP请求:协商报头,包含通用的安全性服务应用程序结口(GSS-API)和简单已保护协商(SPNEGO)协议。在SPNEGO下,用户提交支持的mechTypes。这些是mechTypes该WSA支持:
- KRB5- Kerberos使用的验证方法,如果客户端正确地支持Kerberos并且配置,并且,如果一张有效Kerberos票为访问的服务是存在
- NTLMSSP- Microsoft NTLM安全使用的支持提供程序方法,如果有效Kerberos票不是可用的,然而协商验证方法支持
问题:当客户端使用NEGOEXTS时,验证通过WSA失效
在Microsoft Windows中更多最新版本,支持一个新的验证方法呼叫NegoExts,是分机对协商认证协议。当唯一的支持的方法是NEGOEXTS和NTLMSSP时,此mechType比NTLMSSP被认为安全的更多和由客户端更喜欢。更多信息可以在此链路找到:
介绍扩展到协商验证包
此方案典型地发生,当协商验证方法选择时,并且没有KRB5 mechType (很可能由于未命中WSA服务的一张有效Kerberos票)。如果客户端选择NEGOEXTS (可以被看到作为在wireshark的NEGOEX),则WSA unabled处理验证处理,并且验证为客户端失效。当这发生时,这些日志在验证日志被看到:
14 Nov 2016 16:06:20 (GMT -0500) Warning: PROX_AUTH : 123858 : [DOMAIN]Failed to parse NTLMSSP packet, could not extract NTLMSSP command14 Nov 2016 16:06:20 (GMT -0500) Info: PROX_AUTH : 123858 : [DOMAIN][000] 4E 45 47 4F 45 58 54 53 00 00 00 00 00 00 00 00 NEGOEXTS ........
当验证发生故障时,这发生:
如果访客权限启用-客户端分类作为未经鉴定并且重定向到网站
如果访客权限禁用-客户端提交与另外401或407 (根据代理方法)与在应答标题提交的剩余的验证方法(再没有提交Negotiate)。如果NTLMSSP和基本验证配置,验证提示符可能发生。如果没有其他验证方法(标识为Kerberos仅配置),则验证发生故障。
对此问题的解决方案是对或者删除从标识的Kerberos验证-或修理客户端,以便得到WSA服务的一张有效Kerberos票。
反馈