Kerberos-Auth - wie durchreichen?

Hallo zusammen,

Ausgangslage:
Wir setzen in der lmn7 auf den Schul-PC einen Linux-Client ein, der auch als Virtualisierungshost für unterschiedliche VMs dient. Anmeldung an der Domäne und Authentisierung an der Firewall und somit Internetzugriff funktioniert. Aus der (Windows) VM heraus funktioniert Internet nicht. Die virtuelle Schnittstelle der VM macht NAT. An der Firewall sieht man in den Access-Logs auch die abgelehnten Anfragen aus der VM mit der IP des Host (aber eben ohne die Kerberos-Benutzerauthentisierung, denn sonst würde der Zugang ja klappen).

Die Idee war jetzt: Auf dem Client selbst einen SquidProxy im transparenten Modus laufen zu lassen, der den Internet-Traffic der (Windows) VM abfängt und die Anfragen an die Firewall als cache_peer parent mit den Kerberos-Credentials des am Host angemeldeten Benutzers weiterleitet. Das hat so nicht funktioniert

Ziel ist: Wenn in der (Windows) VM gearbeitet wird, sollte keine weitere Proxy-Authentisierungs-Aufforderung erscheinen und es ist auch derzeit nicht möglich innerhalb der Windows-VM irgendetwas zu verändern. Die Windows-VM muss so raus können wie sie ist. Und der Internetzugriff sollte über die Schulkonsole weiterhin steuerbar sein.

Hat irgendjemand dazu eine Idee, oder ist das so gar nicht realisierbar?

Liebe Grüße
Thomas

Hallo Thomas,

Kerberos hinter NAT ist, sagen wir mal eher unüblich. Obwohl Microsoft es nicht explizit testet, sollte es aber funktionieren.
Es muss in der Firewall von Windows der Port 88 für TCP und UDP offen sein und der Linux Client muss das auch durchreichen. Auch da die Firewall prüfen. Zudem muss die Namensauflösung per DNS von Windows wirklich trotz NAT funktionieren. Vor allem der letzte Punkt sorgt oft für Ärger.

Viel Erfolg,
Christian

Hallo Christian,

danke für den Tip, aber auch das hat nicht geholfen.
Wir haben jetzt die opnSense durch einen selbstaufgesetzten Proxy ersetzt und nun funktioniert es (halbwegs zufriedenstellend).

Viele Grüße
Thomas