[Resolu] KERBEROS

[mickadam]

Bjr,

Finalement je reviens pour mes problèmes d'authent CTRIX/KERBEROS.
J'ai installé l'agent sur mes PC et mis en place l'authentification Kerberos. Via modèle icaclient.adm.
Cela fonctionne pour les pc qui sont sur le site central (même lan que les serveurs citrix). Ne fonctionne pas pour les pc sur les sites distants.
Lorsque l'appli est lancée via l'agent, j'ai un message sur le serveur citrix qui me dit qu'il est impossible d'identifier l'ordinateur. Lorsque cela fonctionne je vois des logs kerberos avec nommachine$.
Mes serveurs CITRIX sont tous MP4 (Win2K / SP4) avec HFRP05.
Tout ce petit monde est dans le même domaine AD.
Reverse DNS ok, résolution XML ok (propriété de la ferme)
Où cela peut-il encore pêcher ?
Ai-je intérêt à placer un sniffer sur le citrix ?
Je ne m'en sors pas et votre aide serait la bienvenue.

Merci à vous.

[ThinIsFat]

bonjour,

perso, je placerai effectiver un wireshark sur le serveur citrix cible mais ya des choses à faire avant...
quelle est la version de client ? quelle est la version de web interface ?

http://support.citrix.com/article/ctx111915
http://support.citrix.com/article/ctx105384 (un peu vieux mais ça peut aider)

[mickadam]

Bjr et merci

La WI est en version 4.6 sur des serveurs W2K SP4
Le client est soit une version 10.2 soit une version 11 (installation administrative
pour utiliser kerberos)

Sur le site local, l'accès aux ressources partagées se fait bien. Le serveur citrix identifie
le client et via la délégation accède aux ressoucres partagées sur un autre serveur. Sur ce serveur de fichier, c'est le nom de mon serveur citrix suivi de $ qui apparaît en tant qu'utilisateur.

Par contre, si le client est sur un site déporté, derrière un wan, mon serveur citrix me dit qu'il lui est impossible d'indentifier l'ordinateur du client. Et les accès se font de façon anonyme sur le serveur de fichier. Et donc aucun accès aux ressources partagées.

[ThinIsFat]

Par contre, si le client est sur un site déporté, derrière un wan, mon serveur citrix me dit qu'il lui est impossible d'indentifier l'ordinateur du client. Et les accès se font de façon anonyme sur le serveur de fichier. Et donc aucun accès aux ressources partagées.

sur ce site déporté, la machine cliente est membre du même AD ?

[mickadam]

Bjr,

Ts les machines sont membres du même domaine.
Domaine éclaté sur pls sites, donc DC sur ces sites.
J'ai commencé à vérifier les trames kerberos.
J'ai un doute quand à l'utilisation de kerberos sur le site central (ou je pensais que cela fonctionnait)
Sur le site distant je vois des trames kerberos entre la staiotn et l'un des DC. Pas sur le site central.
Je dégrossi tout cela et reviens poster les résultats.
Au fait, est-il possible d'utiliser kerberos avec program neighborhood ? Par une connexion personnalisée je pourrais tester le fonctionnement et sortir mes WI de la boucle.

[ThinIsFat]

Kerberos n'est supporté que via WI, PNA (versions "récentes") et PN custom ICA connection http://support.citrix.com/article/ctx105384 <= ce PowerPoint pourrait t'être utile dans ton troubleshooting

pourrais-tu t'assurer que les ports Kerberos soient ouverts ? par défaut Kerberos utilise de l'UDP et pas du TCP.. http://support.microsoft.com/?scid=kb%3Ben-us%3B244474&x=18&y=13

[mickadam]

Je n'avais pas encore fait le test avec les connexions personnalisées.
Cela ne fonctionne pas non plus. J'accède au serveur, plutôt qu'à une application publiée.
"Utilisateur local" et "Authentification unique" cochée.
L'accès au serveur se fait bien. (Cad que je n'ai pas besoin de saisir mon nom ni mot de passe.)
Celui-ci à la délégation active mais dans la session citrix, via l'explorateur je n'ai pas accès aux partages.
Dois-je ajouter un SPN au niveau des serveurs de fichier ?

[mickadam]

Bjr,

Je n'ai pas de SPN pour mon interface-web (en fait mes wi).
Est-ce sur ce point que cela peux clocher ?
Avec wireshark, je vois une trame TGS-REQ avec HTTP/nomdeswi.domaine.org à destination de mon DC
La trame suivante est une erreur kerberos de mon DC vers mon poste de test.
Erreur kerberos KRB5KDC_ERR_S_PRINCIPAL_UNKNOWN

[ThinIsFat]

si tu arrives à lancer une session ICA vers ton bureau/appli sans s'authentifier en ayant activé kerberos (ATTENTION à ne pas utiliser le Single Sign On classique à la place), alors pour ce qui se passe ensuite dans ta session ICA je ne pourrais pas être d'une grande aide.

si cela fonctionne donc cette ouverture de session via une connexion personalisée PN et pas avec WI alors ya effectivement un souci coté WI.

vérifie que les informations de la section Troubleshooting du powerpoint sont toutes suivies et vérifiées

[mickadam]

Oui, je crains que le sso ne soit utilisé en lieu et place de kerberos.
Que dois-je vérifier sur les points ini ?

j'ai :

sspienabled=on pour le wfclient.ini
ssonusersettings=on pour appsrv.ini

[ThinIsFat]

c'est marqué dans le powerpoint ce qu'il faut vérifier

[mickadam]

Oui, j'ai lu le doc mais peut-être l'ai-je mal compris.

si je ne veux pas d'interface d'authentification, je dois utiliser kerberos avec "pass-thru"
donc, seule la ligne SSPIEnable=on.

D'ailleurs, c'est ce que j'ai avec une installation administrative et kerberos sélectionné.

j'en conclu donc que j'ai fait ce qu'il fallait pour que cela fonctionne. Je n'ai à aucun moment
besoin de m'authentifier pour recevoir l'application publiée.

Là où ça pêche, c'est qu'il m'est impossible d'accèder à un lecteur partagé sur un 2k3. A chaque tentative il me demande une authentification.

Pour être plus clair dans mon pb, je publie wordpad sur un serveur 2k. Mes clients y accèdent via l'agent neighborhood et des wi 4.6. Cet accès se fait sans requérir d'authentification. Hormi celle d'ouverture de session du pc (qui se trouve derrière un wan).
Dans wordpad, je veux accèder à différents partages sur différents serveurs. L'un sur site distant (par rapport à mon serveur citrix) et l'autre local, tjs par rapport à mon PS4. Arriver à ce stade, je dois saisir un login/password.
Et là je ne parviens pas à avancer. Sauf si je rends le partage accessible pour des connexions anonymes (null sessions shares).

J'ai contrôlé les points présents dans le powerpoint mais je ne parviens pas à identifier le pb.

J'ai activé les logs kerberos :

Ouverture de session réseau réussie :
    Nom de l'utilisateur :   Administrateur
    Domaine :      OMNIUM
    Nº de la session :      (0x0,0x6162A85)
    Type de session :   3
    Processus de session :   Kerberos
    Package d'authentification :   Kerberos
    Nom de la station de travail :   


Les points page 46 du powerpoint ont été vérifiés.

Que dois-je comprendre par "Intermittent logon issue ? : review group membership"

En résumé, mes serveurs de fichiers ne doivent-ils pas être configurés différemment afin d'accepter les accès aux partages depuis un serveur citrix (délégation activée) dont le client s'est connécté avec kerberos ?

Merci de ton aide. Crois bien que je cherche de mon côté. Et creuse toutes les piste que tu me donnes.

[mickadam]

Bjr,

En installant une console Access Suite Management sur l'un de mes sites distants j'obtiens
au lancement de celle-ci de nombreux messages d'erreurs Kerberos.
Tous sont du type : KDC_ERR_S_Principal_Unknown Code d'erreur 07. En fait un pour chacun
des serveurs CITRIX. Or tous ces serveurs sont full opérationnel. Donc pour moi ils correctement
enregistrés dans l'AD
Comment puis-je obtenir ce type d'erreur ? J'aurai une base kerberos sur chacun de mes sites ? Sans qu'elles ne se répliquent ?

[ThinIsFat]

malheuresement, je n'ai aucune expérience avec Kerberos (oui ok je sais honte à moi    )

as-tu essayé de contacter le support ?

[frederichuet]

Encore une idée de la star brestoise de mettre du kerberos.

Courage Mickael...