Kenntnisstand

Oktober 2025

ProCall 8 Enterprise ab 8.1
ProCall Infinity (DataCenter) ab 2210.3

Funktionsweise

Die Kerberos-Authentifizierung wurde so implementiert, dass Kerberos standardmäßig für die Anmeldung von ProCall Desktop for Windows am UCServer verwendet wird.
Es ist kein weiteres Zutun des Nutzers oder der Administration notwendig.

Service Principal Name (SPN) Registrierung

Der UCServer registriert beim Start seinen Service Principal Name (SPN) für die Dienstklasse "eucsrv".

Erforderliche Berechtigungen

Das Konto, unter dem der UCServer läuft, muss die Berechtigung Validated Write servicePrincipalName bzw. Bestätigtes Schreiben an Dienstprinzipal besitzen.
Für Computerkonten (und Dienste, die unter LocalSystem laufen) ist das der Windows-Default.

Beim Beenden entfernt der UCServer seine SPN-Registrierung wieder.

Ein SPN (z. B. "eucsrv/cti-server") kann immer nur genau für ein Konto (entweder Computer-Konto oder Benutzer-Konto bzw. Dienste-Konto) eingetragen sein.

Authentifizierungsmethoden

Standardmäßig bietet der UCServer bei Domänenauthentifizierung dem ProCall Desktop for Windows Kerberos und NTLM an.

Negotiate ist per Default disabled und sollte derzeit - insbesondere in Verbindung mit "VPN-less"-Anbindung - in der Aushandlung nicht verwendet werden.

Methoden einschränken

Die angebotenen Methoden können wie folgt eingeschränkt werden:

  • Für ProCall Enterprise:

    general.xml

    <UserManagerDisabledAuthMethods>
	<Method>Negotiate</Method>
</UserManagerDisabledAuthMethods>
    XML

  • Für ProCall Infinity (DataCenter):

    Konfigurationdatenbank

    Key: "general.usermanager.UserManagerDisabledAuthMethods"
Wert: ["Negotiate"]
    CODE

Ist das Element <UserManagerDisabledAuthMethods> bzw. der Key "general.usermanager.UserManagerDisabledAuthMethods" nicht vorhanden, greift der Default (=Negotiate deaktiviert).

Ist das Element bzw. der Key vorhanden, aber ohne <Method> bzw. Wert, so sind alle Methoden (inkl. Negotiate) aktiviert.

Weitere Methoden können wie folgt deaktiviert werden:

  • Für ProCall Enterprise:

    general.xml

    <UserManagerDisabledAuthMethods>
	<Method>Negotiate</Method>
	<Method>Kerberos</Method>
</UserManagerDisabledAuthMethods>
    XML

  • Für ProCall Infinity (DataCenter):

    Konfigurationdatenbank

    Key: "general.usermanager.UserManagerDisabledAuthMethods"
Wert: ["Negotiate", "Kerberos"]
    CODE

In bestimmten Domänen-Konstellationen kann Kerberos möglicherweise nicht verwendet werden.
Wir empfehlen dann, die Authentifizierungsmethode Kerberos zu deaktivieren.

Werden mehrere Authentifizierungsmethoden angeboten, werden die Methoden von ProCall Desktop for Windows in folgender Priorität verwendet:

  1. Negotiate
  2. Kerberos
  3. NTLM

Ausgeschaltete Methoden werden dabei übersprungen. Schlägt die Anmeldung bei der zuerst verwendeten Methode fehl, wird die Anmeldung als fehlgeschlagen betrachtet und keine weitere Methode versucht. Eine Ausnahme bildet die Token-Abfrage unter Kerberos. Kann hierbei kein Token vom Authentifizierungs-Server ausgestellt werden, wird ein Fallback auf NTLM versucht (sofern NTLM nicht disabled ist). 

Sind alle Authentifizierungsmethoden disabled, verwendet der Client dennoch NTLM, um Fehlkonfigurationen vorzubeugen.

Überprüfung

SPN-Einträge

SPN-Einträge können via Eingabeaufforderung wie folgt überprüft werden:

  • Alle für einen Account/Server registrierte SPNs: "setspn -L <sAMAccountName>" ( "setspn -L <NTDOMAIN\sAMAccoutnName>")/ "setspn -L <Computerkonto>"
  • Alle Server, für die ein SPN mit der Serviceklasse "eucsrv" registriert ist:  "setspn -q eucsrv/*" 

Ob der UCServer beim Start den SPN registriert hat, kann wie folgt überprüft werden:

Im UCServer Log (EventLog_x.txt) nach "AddSpnToCurrentAccount" suchen.
Die Ausgabe erfolgt beispielhaft wie folgt: 

07.10.2025 10:29:40:984;4;9648;EKerberos::AddSpnToCurrentAccount;Kerberos SPN for service class eucsrv has been added.
→ SPN wurde registriert.

07.10.2025 11:39:07:625;2;5316;EKerberos::AddSpnToCurrentAccount;Failed to add Kerberos SPN for service class eucsrv
→ SPN wurde nicht registriert.

Kerberos

Die Verwendung von Kerberos kann wie folgt überprüft werden:

Im Client-Log kann nach "Using SSPI method" gesucht werden. Die Ausgabe erfolgt beispielhaft wie folgt: 

Logausgabe

03.2023 08:34:03:775;32;mainthread-6992;ENetCtiClientBase::LoginSSPI;Using SSPI method Kerberos with parameter "eucsrv/cti-server.estos.de"
CODE

UCServer konnte beim Start seinen SPN für die Dienstklasse "eucsrv" nicht registrieren - Mögliche Ursachen 

SPN bereits für ein anderes Konto (Benutzer- oder Computerkonto) registriert

Ist SPN für ein anderes Konto (Benutzer- oder Computerkonto) registriert als erwartet, kann SPN manuell gelöscht werden:

setspn D eucsrv/cti-server cti-server

→ SPN für Computerkonto cti-server wird gelöscht.

setspn D eucsrv/cti-server Administrator

→ SPN für Benutzer Administrator wird gelöscht.

Fehlende Konto-Berechtigung

Das Konto, unter dem der UCServer läuft, besitzt nicht die Berechtigung Validated Write servicePrincipalName bzw. Bestätigtes Schreiben an Dienstprinzipal.