Kerberos-Troubleshooting

Problemfelder bei der Delegation

Bei der Delegation gibt es ebenfalls eine Reihe von Fehlerquellen. Besonders wichtig ist hier, dass alle Voraussetzungen erfüllt sind. Neben den generellen Anforderungen, die Kerberos beispielsweise an die Zeitsynchronisation stellt, sind das:

• Das Benutzerkonto, über das der Zugriff erfolgt, muss die Delegation zulassen. Das ist standardmäßig der Fall.

• Dem Computerkonto oder Benutzerkonto, in dessen Kontext der Dienst auf dem Middle-Tier-, also beispielsweise dem Application Server ausgeführt wird, muss für die Delegierung vertraut werden. Das ist keine Standardkonfiguration.

• Der SPN sowohl der Systeme am Middle-Tier als auch am Back-End muss registriert sein.

• Die Client-Anwendung muss Kerberos unterstützen, um entsprechende Service-Tickets anfordern zu können. Alternativ kann mit der Umsetzung auf dem Middle-Tier gearbeitet werden, falls Kerberos beispielsweise bei Zugriffen vom Browser nicht genutzt werden kann.

• Der Dienst auf dem Middle-Tier muss mit der Impersonisation arbeiten.

• Auf dem Back-End müssen die Berechtigungen für impersonisierte Benutzer und nicht für generische Accounts wie root, Administrator, sa oder dba definiert sein.

• Die Middle-Tier- und Back-End-Systeme müssen „kerberized“ sein.

In dieser Kette von Abhängigkeiten kann natürlich einiges schief gehen. Die meisten Probleme entstehen aber dadurch, dass an einer Stelle nicht alle erforderlichen Aspekte konfiguriert worden sind.

Troubleshooting-Whitepaper

Microsoft hat gleich zwei umfangreiche Whitepapers herausgegeben, die sich mit dem Troubleshooting von Kerberos beschäftigen.

• Das Whitepaper „Troubleshooting Kerberos Errors“ behandelt den Umgang mit Kerberos-Fehlern und nennt Lösungen.

• Das Whitepaper „Troubleshooting Kerberos Delegation“ beschäftigt sich speziell mit der Delegation über Kerberos.

Beide Whitepapers werden mit der aktuellen CD-ROM von Expert’s inside Windows NT/2000 geliefert.