Saltar al contenido

Error al inscribir el certificado de "autenticación de Kerberos" en una red escasa

Este equipo de expertos pasados muchos días de investigación y recopilación de de datos, obtuvieron la solución, deseamos que te resulte útil en tu plan.

Solución:

De acuerdo con la documentación, el comportamiento al que se enfrenta es esperado, por diseño y no se puede desactivar. Kerberos Authentication requiere una conexión RPC de CA a DC. Cuáles son las opciones para usted:

  1. Habilite la comunicación RPC entre la CA y el controlador de dominio.
  2. Usar Domain Contoller Authentication plantilla de certificado en lugar de Kerberos Authentication modelo. Domain Contoller Authentication la plantilla no requiere una conexión RPC de regreso a DC.

De hecho, no recordaba todos los detalles y felicitaciones para usted, que hizo una buena investigación y señaló una devolución de llamada RPC fallida, esto realmente redujo la cantidad de posibles razones. Los detalles completos sobre por qué sucede esto se encuentran a continuación.


TL;RD

Parte 1

En primer lugar, sobre las plantillas de certificado: ambas, Domain Controller Authentication y Kerberos Authentication las plantillas se utilizan para proporcionar soporte para LDAPS (LDAP sobre TLS) y autenticación mutua durante el inicio de sesión con certificado/tarjeta inteligente.

La diferencia entre dos es cómo se construye el sujeto, o qué se incluye allí. Domain Controller Authentication incluye el FQDN del controlador de dominio solo en la extensión SAN. Kerberos Authentication agrega dos nombres más: nombres de dominio FDQN y NetBIOS. Además, Kerberos Authentication agrega un KDC Authentication EKU. La configuración de la plantilla predeterminada se define en [MS-CRTD]Apéndice A. Para ser más claro:

  • Domain Controller Authentication el nombre del sujeto tiene una combinación de banderas 134217728 (0x8000000), lo que se traduce en una sola bandera: CT_FLAG_SUBJECT_ALT_REQUIRE_DNS

  • Kerberos Authentication el nombre del sujeto tiene una combinación de banderas 138412032 (0x8400000), lo que se traduce en dos banderas: CT_FLAG_SUBJECT_ALT_REQUIRE_DNS y CT_FLAG_SUBJECT_ALT_REQUIRE_DOMAIN_DNS.

Los indicadores de nombre de sujeto se almacenan en msPKI-Certificate-Name-Flag attribute ([MS-CRTD] §2.28).

El problema en su pregunta es causado por el requisito en SAN de incluir nombres de dominio FQDN y NetBIOS. Kerberos Authentication template es la única plantilla predeterminada que utiliza CT_FLAG_SUBJECT_ALT_REQUIRE_DOMAIN_DNS bandera.

Parte 2

Usos de CA de Windows [MS-WCCE] especificación de protocolo para procesar solicitudes y emitir certificados. Este protocolo especifica completamente el comportamiento del cliente y una pequeña parte de la interacción y el comportamiento de Windows CA. [MS-WCCE] §3.2.2.1.3 define un comportamiento especial para los clientes que son controladores de dominio y preparan su nombre para estar listo para la conexión RPC anteponiendo su nombre con "\".

parte 3

Windows CA procesa el CT_FLAG_SUBJECT_ALT_REQUIRE_DOMAIN_DNS como se especifica en [MS-WCCE] §3.2.2.6.2.1.4.5.9.

Si el CT_FLAG_SUBJECT_ALT_REQUIRE_DOMAIN_DNS se establece la bandera, la CA DEBE:

  • La CA DEBERÍA recuperar un identificador para la política de información utilizando el método LsarOpenPolicy ([MS-LSAD] apartado 3.1.4.4.2), con la SystemName parámetro establecido como el dNSHostName attribute del objeto informático del solicitante, todos los campos del ObjectAttributes ajustado a NULLy el DesiredAccess parámetro establecido en POLICY_VIEW_LOCAL_INFORMATION.
  • La CA DEBERÍA obtener la Información de Dominio DNS de la computadora del solicitante utilizando el LsarQueryInformationPolicy método ([MS-LSAD] apartado 3.1.4.4.4), con la PolicyHandle parámetro ajustado al valor obtenido en el paso anterior, y el InformationClasparámetro s establecido en PolicyDnsDomainInformation.
  • La CA DEBE sumar el valor de la Name y DNSDomainName en la información de dominio DNS devuelta del paso anterior, a la extensión de nombre alternativo del sujeto del certificado emitido.

Como puedes ver, LsarOpenPolicy La llamada es, de hecho, la llamada RPC y devuelve un identificador a la conexión RPC en caso de éxito. En su caso, esta llamada falla y CA no puede llamar LsarQueryInformationPolicy (¡que es una llamada RPC nuevamente!) para obtener los nombres requeridos para insertar en el certificado.

Línea de fondo

Es posible que desee desactivar el FQDN del dominio y el nombre NetBIOS del dominio en Kerberos Authentication plantilla, pero yo no recomendaría esto. Ni intentar agregar KDC Authentication EKU a Domain Controller Authenticationporque primero depende estrictamente de la presencia del dominio FQDN y NetBIO, lo que causa problemas en su entorno.

Nos puedes añadir valor a nuestro contenido contribuyendo tu veteranía en las críticas.

¡Haz clic para puntuar esta entrada!
(Votos: 0 Promedio: 0)



Utiliza Nuestro Buscador

Deja una respuesta

Tu dirección de correo electrónico no será publicada.