hatte mir heute den Tag reserviert um auf Keycloak umzustellen. Nachdem es in 5.2 ohnehin nur mehr das gibt, lieber gleich als dann Stress haben. Ich habe die Migration laut Doku durchgeführt.
Leider funktioniert die Kerberos Auth der Linuxclients (Kubuntu 22.04) über den Webbrowser von UCS Portalen nicht mehr. Sprich das lokale Kerberosticket wird nicht an den Browser richtig weiter gereicht und man muss sich wieder mit Benutzer und Passwort anmelden. Hab mir dazu natürlich auch nochmal die Doku angesehen und die verschiedensten Browser getestet.
Getestete Browser:
Firefox
Google-Chrome
Brave
Ich hab mir dann zum Test ein Windows 11 aufgesetzt. Hier funktioniert Firefox mit den network.negotiate-auth.trusted-uris sofort. Edge brauchte ein wenig Nachhilfe mit der GPO. Somit ist es ein Thema des Linuxclients.
Was muss am Client noch eingestellt werden, damit dies wieder auch mit Keycloak funktioniert? Andere Kerberosdienste die mit Apache2 auf Ubuntu ausgeliefert werden funktionieren normal. Wo setzte ich an?
Hab nun zum Test eine völlig neue und frische UCS Umgebung mit Keycloak, einem Ubuntu und einen Windowsclient aufgesetzt.
Fazit: Auch hier funktioniert die Delegierung des Kerberostickets über Keycloak bei Linux in keinem Webbrowser. Windows 11 tut. Kerberos über anderen Webinterface (wo nicht Keycloak dazwischen ist) tut auch in Linux.
Was fehlt mir da? Übersehe ich etwas? Oder muss fehlt da von UCS noch ein Part in der Programmierung?
Hi, danke für die Antwort. Ich hab das in den letzten Tagen inkl. heute ausführlich getestet. Es lag nicht an der Option “dns_canonicalize_hostname = false” → hatte auf das Verhalten keine Auswirkung. Es hat mich aber dazu motiviert mir das ganze nochmal genauer anzusehen.
Es lag also an der Option das “schwache Verschlüsselung” erlaubt wird. Diese Optionen werden direkt beim Join von “univention-domain-join” geschrieben.
Somit wäre eine Änderung des Verhaltens von “univention-domain-join” für die korrekte Funktion von Browser negotiate mit Keycloak erforderlich. Damit wird dann auch das Kerberos Ticket erfolgreich weiter gereicht und die Sicherheit zur Verschlüsselung der wird damit für Kerberos auch erhöht.
Bin froh dass, das Zeug nun endlich tut. Macht definitiv Spass!!