Klar. Hier ist eine etwas bodenständigere, vielleicht etwas unübersichtliche Version, die aber trotzdem alles Wichtige erklärt und einige Details enthält, die man leicht übersieht: — Im Bereich des Webzugriffs in Unternehmen kann die korrekte Einrichtung der Kerberos-Authentifizierung über verschiedene Browser hinweg recht knifflig sein. Meistens liegt das Hauptproblem darin, dass Browser nur ein wenig Konfiguration benötigen, um reibungslos mit Ihrer Active Directory-Umgebung zu kommunizieren. Wenn Sie jemals versucht haben, Chrome, Firefox oder IE für die transparente Windows-Anmeldung auf internen Websites zu nutzen, sind Sie wahrscheinlich auf seltsame Probleme gestoßen – beispielsweise, dass SSO nicht funktioniert oder der Browser trotzdem nach Anmeldeinformationen fragt. Genau dafür ist diese Anleitung gedacht. Sie führt Sie durch die grundlegende Einrichtung, damit Ihre Browser Ihren AD-Kerberos-Tickets vertrauen und diese problemlos weiterleiten. Sie benötigen einen Webserver, der Kerberos unterstützt (z. B.IIS mit aktivierter Kerberos-Authentifizierung), einen Benutzer mit Zugriffsrechten und dessen Rechner, der ordnungsgemäß mit einem gültigen TGT (dem Kerberos Ticket Granting Ticket) bei AD angemeldet ist. Ohne diese Voraussetzungen ist es unmöglich. Und seien Sie sich dessen bewusst: Browser unterscheiden sich in der Handhabung von Tickets und Zonen. Glaub mir, diese Schritte helfen, das klassische Problem „Warum muss ich mich auf dieser Website jedes Mal neu anmelden?“ zu vermeiden.
Wie man Kerberos-Authentifizierungsprobleme in Browsern behebt
Kerberos im Internet Explorer aktivieren (11)
Internet Explorer ist zwar etwas veraltet, aber in manchen Bereichen immer noch überraschend wichtig. Bei der Fehlerbehebung von Kerberos in IE ist es entscheidend, dass die Websites als „Intranet“ erkannt und als vertrauenswürdig eingestuft werden, damit IE das richtige Token sendet.– Öffnen Sie die Internetoptionen (Systemsteuerung > Internetoptionen oder Zahnradsymbol in IE).– Klicken Sie auf „Sicherheit“, dann auf „ Lokales Intranet“ und anschließend auf „Sites“ > „Erweitert“.– Fügen Sie hier Ihre Websites hinzu, z. B.„example.com“ https://*.woshub.comund „example.com“ http://*.woshub.com. Dadurch werden sie von IE als Intranet-Websites behandelt, was für die Kerberos-Unterstützung unerlässlich ist.– Zur einfacheren Verwaltung können Sie diese Einstellungen über Gruppenrichtlinien vornehmen: Navigieren Sie zu „Computerkonfiguration“ > „Richtlinien“ > „Administrative Vorlagen“ > „Windows-Komponenten“ > „Internet Explorer“ und suchen Sie die Einstellung „Zuordnung von Websites zu Zonen“. Setzen Sie die Werte für Ihre Websites auf 1 (Intranetzone).– Klicken Sie anschließend erneut auf die Registerkarte „Erweitert“. Stellen Sie sicher, dass die Option „Integrierte Windows-Authentifizierung aktivieren“ ausgewählt ist.– Wichtig: Wenn Sie Websites stattdessen der Zone „Vertrauenswürdige Sites“ hinzufügen, werden keine Kerberos-Token gesendet. Websites wie Ihre internen Webanwendungen sollten sich ausschließlich in der lokalen Intranetzone befinden. Anschließend versucht der Internet Explorer, Ihre angemeldeten Kerberos-Tickets beim Besuch dieser URLs automatisch zu übermitteln. In manchen Fällen kann ein Neustart oder das Leeren des Caches Abhilfe schaffen.
Chrome dazu bringen, auf Kerberos zuzugreifen
Chrome verwendet im Hintergrund die Konfiguration von Internet Explorer. Stellen Sie daher zunächst sicher, dass Internet Explorer korrekt eingerichtet ist (siehe oben).Manchmal, insbesondere bei älteren Chrome-Versionen, müssen Sie Ihre Kerberos-Domäne jedoch explizit auf die Whitelist setzen.– Starten Sie Chrome über die Befehlszeile mit folgenden Parametern: `plaintext –auth-server-whitelist=“*.woshub.com“ –auth-negotiate-delegate-whitelist=“*.woshub.com“` – Für eine dauerhafte Lösung können Sie diese Richtlinien über die Registrierung festlegen: Navigieren Sie zu `HKLM\SOFTWARE\Policies\Google\Chrome` und erstellen oder bearbeiten Sie die folgenden DWORD-Werte: `AuthServerWhitelist = `*.woshub.com„ und `AuthNegotiateDelegateWhitelist = `*.woshub.com`.– Starten Sie Chrome nach der Anwendung dieser Einstellungen neu.– Vergessen Sie außerdem nicht, die Kerberos-Tickets mit dem Befehl `bash klist purge` (siehe Microsoft-Anleitung ) zu löschen und anschließend Ihren Browser zu aktualisieren.
Firefox die Kerberos-Prüfungen bestehen lassen
Firefox handhabt das anders – es verwendet nicht die Systemeinstellungen von IE, daher müssen Sie explizit angeben, welchen Websites vertraut werden soll.– Gehen Sie in Firefox zu about:config und klicken Sie auf „Risiko akzeptieren“.– Suchen Sie nach `network.negotiate-auth.trusted-uris` und tragen Sie Ihre Domain ein, z. B.: plaintext https://*.woshub.com.– Verfahren Sie genauso mit `network.automatic-ntlm-auth.trusted-uris`.Sie können beide auf denselben Wert setzen.– Um Probleme mit FQDNs zu vermeiden, aktivieren Sie `network.negotiate-auth.allow-non-fqdn` und setzen Sie den Wert auf `true`.– Falls Firefox weiterhin keine Kerberos-Tickets weiterleitet, überprüfen Sie Ihren Ticket-Cache: Führen Sie den Befehl `klist tickets` aus oder prüfen Sie, ob Ihre Anmeldeinformationen tatsächlich erkannt werden.
Ehrlich gesagt ist es etwas seltsam, aber sobald man all diese Anpassungen vorgenommen hat, funktionieren die Kerberos-Anmeldeinformationen in der Regel problemlos. Ich bin mir nicht sicher, warum es manchmal funktioniert, aber bei manchen Konfigurationen reicht ein Neustart oder das Löschen des Caches/der Klist-Tickets aus, um das Problem zu beheben. Und ja, Browser-Updates verursachen immer vorübergehend Probleme – Geduld ist gefragt.
—
Zusammenfassung
- Stellen Sie sicher, dass sich die Websites in IE und Firefox in der Zone „Lokales Intranet“ befinden.
- Überprüfen Sie die IE-Sicherheitseinstellungen: Aktivieren Sie die integrierte Windows-Authentifizierung.
- Für Chrome müssen Sie die Befehlszeilenparameter oder Registrierungsrichtlinien anpassen, um Ihre Domain auf die Whitelist zu setzen.
- Leeren Sie den Ticket-Cache mit `klist purge`, wenn etwas nicht funktioniert oder nicht aktualisiert wird.
- Testen Sie mit Tools wie Fiddler oder `klist tickets`, um zu sehen, was tatsächlich gesendet wird.
Zusammenfassung
Kerberos im Browser einzurichten ist nicht immer einfach, aber mit etwas Geduld und den richtigen Einstellungen kann SSO in Ihrem Intranet reibungslos funktionieren. Manchmal ist es nur eine einzige versteckte Einstellung, die alles blockiert – also nicht aufgeben! Hoffentlich erspart Ihnen dieser Beitrag einige Probleme. Ich drücke die Daumen, dass es hilft und Ihre Browser endlich aufhören, ständig nach Anmeldeinformationen zu fragen.