Keycloak - Nach Migration kein Kerberos negotiate mehr im Webbrowser

Hallo Leute,

UCS version is 5.0-5 errata885

hatte mir heute den Tag reserviert um auf Keycloak umzustellen. Nachdem es in 5.2 ohnehin nur mehr das gibt, lieber gleich als dann Stress haben. Ich habe die Migration laut Doku durchgeführt.

Leider funktioniert die Kerberos Auth der Linuxclients (Kubuntu 22.04) über den Webbrowser von UCS Portalen nicht mehr. Sprich das lokale Kerberosticket wird nicht an den Browser richtig weiter gereicht und man muss sich wieder mit Benutzer und Passwort anmelden. Hab mir dazu natürlich auch nochmal die Doku angesehen und die verschiedensten Browser getestet.

Getestete Browser:

  • Firefox
  • Google-Chrome
  • Brave

Ich hab mir dann zum Test ein Windows 11 aufgesetzt. Hier funktioniert Firefox mit den network.negotiate-auth.trusted-uris sofort. Edge brauchte ein wenig Nachhilfe mit der GPO. Somit ist es ein Thema des Linuxclients.

Was muss am Client noch eingestellt werden, damit dies wieder auch mit Keycloak funktioniert? Andere Kerberosdienste die mit Apache2 auf Ubuntu ausgeliefert werden funktionieren normal. Wo setzte ich an?

Hier eine Standard Clientconfig:

[libdefaults]
    default_realm = OSIT.CC
    kdc_timesync = 1
    ccache_type = 4
    forwardable = true
    proxiable = true
    default_tkt_enctypes = arcfour-hmac-md5 des-cbc-md5 des3-hmac-sha1 des-cbc-crc des-cbc-md4 des3-cbc-sha1 aes128-cts-hmac-sha1-96 aes256-cts-hmac-sha1-96
    permitted_enctypes = des3-hmac-sha1 des-cbc-crc des-cbc-md4 des-cbc-md5 des3-cbc-sha1 arcfour-hmac-md5 aes128-cts-hmac-sha1-96 aes256-cts-hmac-sha1-96
    allow_weak_crypto=true
    rdns = false

[realms]
OSIT.CC = {
   kdc = dc1.osit.cc dc2.osit.cc dc3.osit.cc
   admin_server = dc1.osit.cc
   kpasswd_server = dc1.osit.cc

Vielen lieben Dank
lg

Ist das Thema noch keinem nach der Migration aufgefallen oder hab nur ich das in meiner Umgebung?

Hab nun zum Test eine völlig neue und frische UCS Umgebung mit Keycloak, einem Ubuntu und einen Windowsclient aufgesetzt.

Fazit: Auch hier funktioniert die Delegierung des Kerberostickets über Keycloak bei Linux in keinem Webbrowser. Windows 11 tut. Kerberos über anderen Webinterface (wo nicht Keycloak dazwischen ist) tut auch in Linux.

Was fehlt mir da? Übersehe ich etwas? Oder muss fehlt da von UCS noch ein Part in der Programmierung?

Mastodon