Kerberos-Authentifizierung für ProCall
August 2023
ProCall 8 Enterprise ab 8.1
ProCall DataCenter ab 2210.3
Funktionsweise
Die Kerberos-Authentifizierung wurde so implementiert, dass Kerberos standardmäßig für die Anmeldung des ProCall Client für Windows am UCServer verwendet wird.
Es ist kein weiteres Zutun des Nutzers oder der Administration notwendig.
SPN Registrierung
Der UCServer registriert beim Start seinen Service Principal Name (SPN) für die Dienstklasse "eucsrv".
Erforderliche Berechtigungen
Das Konto, unter dem der UCServer läuft, muss die Berechtigung Validated Write servicePrincipalName bzw. Bestätigtes Schreiben an Dienstprinzipal besitzen.
Für Computerkonten (und Dienste, die unter LocalSystem laufen) ist das der Windows-Default.
Beim Beenden entfernt der UCServer seine SPN-Registrierung wieder.
Authentifizierungsmethoden
Standardmäßig wird vom UCServer bei Domänenauthentifizierung dem ProCall Client für Windows Kerberos und NTLM angeboten.
Die angebotenen Methoden können wie folgt eingeschränkt werden:
Für ProCall Enterprise:
general.xml
<UserManagerDisabledAuthMethods> <Method>Negotiate</Method> </UserManagerDisabledAuthMethods>
XMLFür ProCall DataCenter:
Konfigurationdatenbank
Key: "general.usermanager.UserManagerDisabledAuthMethods" Wert: ["Negotiate"]
CODE
Ist das Element <UserManagerDisabledAuthMethods> bzw. der Key "general.usermanager.UserManagerDisabledAuthMethods" nicht vorhanden, , greift der Default (=Negotiate deaktiviert).
Ist das Element bzw. der Key vorhanden, aber ohne <Method> bzw. Wert, so sind alle Methoden (inkl. Negotiate) aktiviert.
Weitere Methoden können wie folgt deaktiviert werden:
Für ProCall Enterprise:
general.xml
<UserManagerDisabledAuthMethods> <Method>Negotiate</Method> <Method>Kerberos</Method> </UserManagerDisabledAuthMethods>
XMLFür ProCall DataCenter:
Konfigurationdatenbank
Key: "general.usermanager.UserManagerDisabledAuthMethods" Wert: ["Negotiate", "Kerberos"]
CODE
In bestimmten Domänen-Konstellationen kann Kerberos möglicherweise nicht verwendet werden. Wir empfehlen dann, die Authentifizierungsmethode Kerberos zu deaktivieren.
Werden mehrere Authentifizierungsmethoden angeboten, werden die Methoden vom ProCall Client für Windows in folgender Priorität verwendet:
- Negotiate
- Kerberos
- NTLM
Ausgeschaltete Methoden werden dabei übersprungen. Schlägt die Anmeldung bei der zuerst verwendeten Methode fehl, wird die Anmeldung als fehlgeschlagen betrachtet und keine weitere Methode versucht. Eine Ausnahme bildet die Token-Abfrage unter Kerberos. Kann hierbei kein Token vom Authentifizierungs-Server ausgestellt werden, wird ein Fallback auf NTLM versucht (sofern NTLM nicht disabled ist).
Sind alle Authentifizierungsmethoden disabled, verwendet der Client dennoch NTLM, um Fehlkonfigurationen vorzubeugen.
Überprüfung
SPN-Einträge können via Eingabeaufforderung wie folgt überprüft werden:
- Alle für einen Account/Server registrierte SPNs: "setspn -L <account bzw. servername>"
- Alle Server, für die ein SPN mit der Serviceklasse "eucsrv" registriert ist: "setspn -q eucsrv/*"
Die Verwendung von Kerberos kann wie folgt überprüft werden:
Im Client-Log kann nach "Using SSPI method" gesucht werden. Die Ausgabe erfolgt beispielhaft wie folgt:
Logausgabe
03.2023 08:34:03:775;32;mainthread-6992;ENetCtiClientBase::LoginSSPI;Using SSPI method Kerberos with parameter "eucsrv/cti-server.estos.de"
CODE