我能够kinit + klist在 Mac + Windows 上成功验证票据。我甚至将我的 Kerberos 配置转移到“KerberosForWindows”。
似乎 Windows 上的任何浏览器都无法执行 Kerberos 样式协商,而不是 Windows 样式的 NTLM。是这样的吗?
我已尝试了所有本地站点 / 内部网 / 受信任域 / 浏览器配置传播域以进行协商身份验证。我只是想确认 Windows 浏览器是否可以进行 GSSAPI 样式协商。
// Kerberos authentication middleware
async function kerberosAuth(req, res, next) {
// Check for the Authorization header and extract the token
const authHeader = req.headers['authorization'];
if (!authHeader || !authHeader.startsWith('Negotiate ')) {
res.setHeader('WWW-Authenticate', 'Negotiate');
return res.status(401).send('Kerberos authentication required');
}
const token = authHeader.slice('Negotiate '.length);
// Base64 decode the token
const decodedToken = Buffer.from(token, 'base64');
// Check if it's NTLM
if (decodedToken.toString('hex').startsWith('4e544c4d')) {
// always hit on Windows
return res.status(500).send('NTLM is not supported. Please use Kerberos authentication.');
} else {
// only ever hit on Mac/Linux
}
HTTP 上的 Kerberos
Negotiate也非常具有“Windows 风格”,因为 HTTP 机制是由 Microsoft 发明的,并且定义为使用 MS-SPNEGO(因此称为“Negotiate”)而不是原始 Kerberos 令牌。所有流行的浏览器都支持 Windows 上通过 HTTP 实现的 Kerberos
Negotiate,但 MIT 的“Kerberos for Windows”包(gssapi.dll)仅受 Mozilla/Firefox/Thunderbird 支持,而 IE 和 Chrome/Edge仅通过 Windows 内置的 SSPI 接口(也是 Firefox 中的默认接口)支持 Kerberos。因此,我通常避免在工作站上安装 KfW,而是配置 Windows SSPI,因为这样可以为更长的软件列表提供 GSSAPI 支持。
(如果该领域不是 AD 域)将该领域标记为“MIT 领域”,这样 Windows 就不会期望其 KDC 响应 Netlogon ping。对于 Active Directory 领域,请跳过此步骤。
实际标志是可选的;领域条目本身的存在表明领域类型为非 AD。
(如果该领域不是 AD 域,并且有人懒得添加 DNS SRV 记录)手动定义 KDC 主机名。
正确管理的领域(MIT 和 AD)应该具有
_kerberos._udp.<domain>指向 KDC 的 SRV 记录,并且不需要此配置。请注意,此条目的存在将其标记为 MIT/非 AD 领域,如上所述。(如果客户端使用本地帐户进行 Windows 登录)将 Kerberos 凭据存储在 Windows 凭据管理器中:
对于非域登录,这是 SSPI 最接近对应的
kinit,当程序尝试获取服务票证时,它将使用存储的凭据自动获取 TGT。如果 TGT 的凭据不可用,IE 和 Edge/Chrome 将使用 Basic 样式的对话框提示他们,但 Firefox 不支持该功能(因为这通常不是 GSSAPI 应用程序所做的事情)。
附注:当前版本的 Firefox 存在一个错误,即当浏览器中启用 DoH 时,它们无法通过 SSPI 使用 Kerberos。请确保在 Firefox 设置中将其禁用。
确保为正确的主机名存储了您的凭据。与 MIT Kerberos/KfW 不同,本机 Windows Kerberos 不执行规范化(既不执行 rDNS 也不执行 CNAME),因此如果您访问
http://foo,它将变为 SPNHTTP/foo,而不是HTTP/foo.example.com- 因此您需要专门为 存储凭据foo;仅为 存储它们是不够的*.example.com。出于同样的原因,首先确保该领域具有正确的 SPN。使用 Wireshark 或查看 KDC 的日志以查看请求的内容。
不要使用保存的凭据,而是尝试使用浏览器启动
runas它们,使其处于“登录会话”中(就像是域登录一样):然后从此 Cmd 窗口启动 Firefox 或任何其他支持 Kerberos 的客户端(但我不认为这适用于 Chrome/Edge)。
运行
klist get <spn>并检查该主体的票证是否出现在结果列表中。(确保您运行的是 Windows 内置 klist,而不是 KfW klist 或 Java klist!)对于 Firefox,请访问
about:logging并启用negotiateauth:5模块的日志记录。(或者,将其放入
NSPR_LOG_MODULES环境变量中,并进行设置NSPR_LOG_FILE,或者使用 运行 Firefox-console。)对于 IE 和 Edge/Chrome,手动添加您的主机名或添加
*.example.com到“本地 Intranet”区域,并确保选择“仅在 Intranet 区域自动登录”。直接调用 SSPI,绕过所有特定于浏览器的逻辑:
pip install pyspnego或者pip install sspilibout_token。