Keycloak - Nach Migration kein Kerberos negotiate mehr im Webbrowser

Hallo Leute,

UCS version is 5.0-5 errata885

hatte mir heute den Tag reserviert um auf Keycloak umzustellen. Nachdem es in 5.2 ohnehin nur mehr das gibt, lieber gleich als dann Stress haben. Ich habe die Migration laut Doku durchgeführt.

Leider funktioniert die Kerberos Auth der Linuxclients (Kubuntu 22.04) über den Webbrowser von UCS Portalen nicht mehr. Sprich das lokale Kerberosticket wird nicht an den Browser richtig weiter gereicht und man muss sich wieder mit Benutzer und Passwort anmelden. Hab mir dazu natürlich auch nochmal die Doku angesehen und die verschiedensten Browser getestet.

Getestete Browser:

  • Firefox
  • Google-Chrome
  • Brave

Ich hab mir dann zum Test ein Windows 11 aufgesetzt. Hier funktioniert Firefox mit den network.negotiate-auth.trusted-uris sofort. Edge brauchte ein wenig Nachhilfe mit der GPO. Somit ist es ein Thema des Linuxclients.

Was muss am Client noch eingestellt werden, damit dies wieder auch mit Keycloak funktioniert? Andere Kerberosdienste die mit Apache2 auf Ubuntu ausgeliefert werden funktionieren normal. Wo setzte ich an?

Hier eine Standard Clientconfig:

[libdefaults]
    default_realm = OSIT.CC
    kdc_timesync = 1
    ccache_type = 4
    forwardable = true
    proxiable = true
    default_tkt_enctypes = arcfour-hmac-md5 des-cbc-md5 des3-hmac-sha1 des-cbc-crc des-cbc-md4 des3-cbc-sha1 aes128-cts-hmac-sha1-96 aes256-cts-hmac-sha1-96
    permitted_enctypes = des3-hmac-sha1 des-cbc-crc des-cbc-md4 des-cbc-md5 des3-cbc-sha1 arcfour-hmac-md5 aes128-cts-hmac-sha1-96 aes256-cts-hmac-sha1-96
    allow_weak_crypto=true
    rdns = false

[realms]
OSIT.CC = {
   kdc = dc1.osit.cc dc2.osit.cc dc3.osit.cc
   admin_server = dc1.osit.cc
   kpasswd_server = dc1.osit.cc

Vielen lieben Dank
lg

Mastodon