Sophos UTM AD SSO schlägt fehl - key table entry not found
Knowledge Base Home | Submit a new ticket
Helmich Support Wissensdatenbank

Sophos UTM AD SSO schlägt fehl - key table entry not found

Article Id: #16     Viewed: 8324 times     Last updated on: 28 Oct 2015     Article Category: Sophos UTM Wissensdatenbank    

Problem:



Benutzer können sich nicht mehr am Proxy authentifizieren. Im Content Filter Log erscheitn sehr häufig die Meldung "key table entry not found".
Das Ganze tritt auf, nachdem von einem Win2003 Domaincontroller auf einen Win2009 DC umgestellt wurde.



Ursache:


Mit dem Umstieg von Windows 2003 auf 2008 ist nur noch die Kerberos-Authentifizierung möglich.
Für die Kerberos-Authenfizierung muss ein Kerberos-Ticket erstellt werden, welches den gleichen Namen anspricht, welcher auch auf der UTM in der Key-Tabelle eingetragen ist.
Der Name in der Key-Tabelle wird bei Joinen der Domäne auf Basis des UTM Hostnamen und des Domänen-Namens erstellt.

Die Key-Tabelle kann per SSH mit den folgenden Befehlen aufgerufen werden und sieht wie folgt aus:

----------
vpn:/root # ktutil
ktutil: rkt /etc/krb5.keytab
ktutil: l
slot KVNO Principal
---- ---- ---------------------------------------------------------------------
1 2 host/proxy.domain.local@DOMAIN.LOCAL
2 2 host/proxy.domain.local@DOMAIN.LOCAL
3 2 host/proxy.domain.local@DOMAIN.LOCAL
4 2 host/PROXY@DOMAIN.LOCAL
5 2 host/PROXY@DOMAIN.LOCAL
6 2 host/PROXY@DOMAIN.LOCAL
7 2 PROXY$@DOMAIN.LOCAL
8 2 PROXY$@DOMAIN.LOCAL
9 2 PROXY$@DOMAIN.LOCAL
10 2 HTTP/proxy.domain.local@DOMAIN.LOCAL
11 2 HTTP/proxy.domain.loca@DOMAIN.LOCAL
12 2 HTTP/proxy.domain.loca@DOMAIN.LOCAL
13 2 HTTP/PROXY@DOMAIN.LOCAL
14 2 HTTP/PROXY@DOMAIN.LOCAL
15 2 HTTP/PROXY@DOMAIN.LOCAL
-----------------------------------------------------------------------

Wichtig sind die HTTP- und HOST-Einträge.

Wenn ein Client sich mit einem Kerberos-Ticket authentifizieren will, daß von den entsprechenden Einträgen abweist, kommt die Meldung "Key table entry not found".

Um dies zu umgehen muss am Client im Browser als Proxy exakt der gleiche Namen, wie in den HOST/HTTP-Einträgen der Keytab eingetragen werden (in der Regel der FQDN der UTM).

ACHTUNG: die Einträge sind Case-Sensitive!

Sollte eine Anpassung nötig sein, kann man wie folgt vorgehen:

- löschen des AD-Computerkontos der UTM
- ggf. Umbenennung der UTM über Management >> System Settings >> Hostname
- Neujoinen der Domäne über User >> Authentication >> Single Sign On
- Neustart des HTTP-Proxies z.B. über die Konsole mit dem Befehl "/var/mdw/scripts/httpproxy restart"

Anschließend kann es nötig sein, daß sich Benutzer einmal an der Domöne ab- und wieder anmelden müssen (um ein neues Kerberos-Ticket zu erhalten, welches jünger ist, als das aktuelle der UTM) ehe die Authentifizierung wieder funktioniert.



Lösung:


- Eintragen des FQDN in den Proxy-Einstellungen des Browsers
- Anpassung/Neuerstellung der Key-Tabelle durch Domain-Join wie oben beschrieben

Was this information useful?
Yes     No
Helmich IT-Security GmbH