Kenntnisstand

August 2023

ProCall 8 Enterprise ab 8.1
ProCall DataCenter ab 2210.3

Funktionsweise

Die Kerberos-Authentifizierung wurde so implementiert, dass Kerberos standardmäßig für die Anmeldung des ProCall Client für Windows am UCServer verwendet wird.
Es ist kein weiteres Zutun des Nutzers oder der Administration notwendig.

SPN Registrierung

Der UCServer registriert beim Start seinen Service Principal Name (SPN) für die Dienstklasse "eucsrv".

Erforderliche Berechtigungen

Das Konto, unter dem der UCServer läuft, muss die Berechtigung Validated Write servicePrincipalName bzw. Bestätigtes Schreiben an Dienstprinzipal besitzen.
Für Computerkonten (und Dienste, die unter LocalSystem laufen) ist das der Windows-Default.

Beim Beenden entfernt der UCServer seine SPN-Registrierung wieder.

Authentifizierungsmethoden

Standardmäßig wird vom UCServer bei Domänenauthentifizierung dem ProCall Client für Windows Kerberos und NTLM angeboten.

Negotiate ist per Default disabled und sollte derzeit aufgrund von Problemen, insbesondere in Verbindung mit "VPN-less"-Anbindung, in der Aushandlung nicht verwendet werden.

Die angebotenen Methoden können wie folgt eingeschränkt werden:

  • Für ProCall Enterprise:

    general.xml

    <UserManagerDisabledAuthMethods>
	<Method>Negotiate</Method>
</UserManagerDisabledAuthMethods>
    XML

  • Für ProCall DataCenter:

    Konfigurationdatenbank

    Key: "general.usermanager.UserManagerDisabledAuthMethods"
Wert: ["Negotiate"]
    CODE

Ist das Element <UserManagerDisabledAuthMethods> bzw. der Key "general.usermanager.UserManagerDisabledAuthMethods" nicht vorhanden, , greift der Default (=Negotiate deaktiviert).

Ist das Element bzw. der Key vorhanden, aber ohne <Method> bzw. Wert, so sind alle Methoden (inkl. Negotiate) aktiviert.

Weitere Methoden können wie folgt deaktiviert werden:

  • Für ProCall Enterprise:

    general.xml

    <UserManagerDisabledAuthMethods>
	<Method>Negotiate</Method>
	<Method>Kerberos</Method>
</UserManagerDisabledAuthMethods>
    XML

  • Für ProCall DataCenter:

    Konfigurationdatenbank

    Key: "general.usermanager.UserManagerDisabledAuthMethods"
Wert: ["Negotiate", "Kerberos"]
    CODE

In bestimmten Domänen-Konstellationen kann Kerberos möglicherweise nicht verwendet werden. Wir empfehlen dann, die Authentifizierungsmethode Kerberos zu deaktivieren.

Werden mehrere Authentifizierungsmethoden angeboten, werden die Methoden vom ProCall Client für Windows in folgender Priorität verwendet:

  1. Negotiate
  2. Kerberos
  3. NTLM

Ausgeschaltete Methoden werden dabei übersprungen. Schlägt die Anmeldung bei der zuerst verwendeten Methode fehl, wird die Anmeldung als fehlgeschlagen betrachtet und keine weitere Methode versucht. Eine Ausnahme bildet die Token-Abfrage unter Kerberos. Kann hierbei kein Token vom Authentifizierungs-Server ausgestellt werden, wird ein Fallback auf NTLM versucht (sofern NTLM nicht disabled ist). 

Sind alle Authentifizierungsmethoden disabled, verwendet der Client dennoch NTLM, um Fehlkonfigurationen vorzubeugen.

Überprüfung

SPN-Einträge können via Eingabeaufforderung wie folgt überprüft werden:

  • Alle für einen Account/Server registrierte SPNs: "setspn -L <account bzw. servername>"
  • Alle Server, für die ein SPN mit der Serviceklasse "eucsrv" registriert ist:  "setspn -q eucsrv/*" 

Die Verwendung von Kerberos kann wie folgt überprüft werden:

  • Im Client-Log kann nach "Using SSPI method" gesucht werden. Die Ausgabe erfolgt beispielhaft wie folgt: 

    Logausgabe

    03.2023 08:34:03:775;32;mainthread-6992;ENetCtiClientBase::LoginSSPI;Using SSPI method Kerberos with parameter "eucsrv/cti-server.estos.de"
    CODE