Посещая наш сайт, вы соглашаетесь с нашей политикой конфиденциальности в отношении файлов cookie, статистики отслеживания и т. д.

Главная » Вопросы и ответы » Системное администрирование и сети

Проблема аутентификации Kerberos \ AD в учетной записи Azure Storage

На чтение 4 мин Опубликовано
Содержание
  1. Вопрос или проблема
  2. Ответ или решение
  3. 1. Проверка настройки Kerberos
  4. 2. Настройка реестра
  5. 3. Использование учетных записей
  6. 4. Аутентификация через Azure AD
  7. 5. Тестирование и отладка
  8. 6. Альтернативы и меры

Вопрос или проблема

Надеюсь, это простой вопрос, но я бью головой об стену.

Наша среда переходит на облачные службы только с использованием AAD, но у нас все еще есть ряд гибридных систем, работающих только с AD.

У нас есть сервер приложений на Server 2022 в Azure, который подключен к AD. У нас есть новый пул хостов AVD, который работает только с AADJ. Аутентификация Kerberos на сервере работает идеально.

Неожиданностью стало то, что используется Azure файл, который настраивается для аутентификации Kerberos и работает на системе AVD. Однако на сервере приложений доступ не предоставляется, и аутентификация не проходит.

Пробовал настройку реестра для Kerberos из облака, но она, похоже, ничего не делает, кроме как предотвращает отображение окна аутентификации. Просто сообщает, что не может найти ресурс.

Без этой настройки у нас появляется окно аутентификации, но учетные данные не работают.

Предыдущая версия этого программного обеспечения использовала учетную запись для аутентификации через AD, которая работает на сервере, но не работает на AVD или когда ключ реестра Kerberos добавляется на сервер приложений.

В идеальном мире я хотел бы иметь возможность войти как в старый общий доступ Azure AD, так и в общий доступ по аутентификации Kerberos на одном и том же компьютере, но в данный момент это, похоже, невозможно.

Надеюсь, это имеет смысл для кого-то, потому что это сводит меня с ума.

Ответ или решение

К сожалению, вы сталкиваетесь с довольно сложной проблемой, связанной с аутентификацией Kerberos в среде Azure. Давайте разберемся по шагам, чтобы решить вашу проблему с доступом к файловым ресурсам Azure.

1. Проверка настройки Kerberos

Убедитесь, что для вашего общего хранилища файлов настроены правильные параметры Kerberos. Вам нужно убедиться, что:

  • Service Principal Name (SPN) для вашего Azure File Share правильно зарегистрирован. Как правило, SPN должен включать имя вашей Azure Storage Account и подразумевает что Kerberos работает корректно.

  • Проверьте наличие ключевых таблиц аутентификации (Key Distribution Center, KDC), их доступность и доступ для вашего сервера приложений.

2. Настройка реестра

Вы упомянули, что вы уже пробовали изменять параметры в реестре. Убедитесь, что вы добавили правильный ключ в реестр на вашем сервере приложений. Вот как это можно сделать:

  1. Откройте редактор реестра (Regedit).
  2. Перейдите к HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters.
  3. Если раздела Parameters не существует, создайте его.
  4. Добавьте новый DWORD (32-бит) значение с именем AllowEncryptionType и значением 1.
  5. Перезагрузите сервер для применения изменений.

3. Использование учетных записей

Если ваше приложение использует учетные записи Active Directory, убедитесь, что:

  • Учетная запись, используемая для доступа к файловому ресурсу Azure, должна быть добавлена к необходимым группам в Azure AD.

  • Обратите внимание на возможные ограничения в аутентификации для вашей приложения. Убедитесь, что оно действительно поддерживает Kerberos.

4. Аутентификация через Azure AD

Для файлового хранилища Azure, используемого в рамках Azure AD, важно понимать различия между AD и AAD. Настройка маршрута аутентификации может потребовать дополнительных шагов:

  • Убедитесь, что ваша Azure Storage Account настроена для доступа через Azure AD. Это можно сделать в разделе "Access Control (IAM)" на портале Azure.

  • Проверьте наличие разрешений для вашей учетной записи Azure AD. Важно установить необходимые роли (например, "Storage File Data SMB Share Contributor").

5. Тестирование и отладка

  • Используйте команду klist на вашем сервере, чтобы проверить наличие кэша билетов Kerberos. Убедитесь, что билет для вашего SPN существует и действителен.

  • Проверьте журналы событий Windows для сообщений об ошибках, связанных с Kerberos, или проблем с аутентификацией. Это может дать вам ключевую информацию о том, где происходит сбой.

6. Альтернативы и меры

Если вышеописанные шаги не помогли, рассмотрите следующие возможности:

  • Свяжитесь с поддержкой Microsoft Azure для получения дополнительной помощи. Иногда проблема может быть глубже, чем кажется.

  • Рассмотрите возможность создания отдельной среды для тестирования, чтобы воспроизвести проблему, не влияя на вашу продуктивную систему.

Эти шаги должны помочь вам разобраться с проблемами аутентификации Kerberos на вашем сервере приложений и Azure File Share. Если есть дополнительные детали или вам нужна помощь с конкретной частью процесса, не стесняйтесь уточнить.

active-directory azure kerberos network-share
Оцените материал
Добавить комментарий

Капча загружается...

© 2024 IZ6.RU
*В материалах сайта упоминаются социальные сети Фейсбук / Инстаграм, принадлежащие Meta Platforms Inc., деятельность которой запрещена на территории РФ в части реализации данных социальных сетей на основании осуществления ею экстремистской деятельности