Аутентификация Kerberos с GSSAPI на Windows 11 LTSC завершается неудачно с сообщением [Запросился неподдерживаемый механизм (Неизвестная ошибка)]

Вопрос или проблема

ktpass -princ HTTP/[email protected] -mapuser [email protected] -pass StrongPassword123** -crypto All -kvno 8 -ptype KRB5_NT_PRINCIPAL -out c:\wpintranet.keytab

[libdefaults]
   default_realm = XXX.FR
   kdc_timesync = 1
   ccache_type = 4
   forwardable = false
   proxiable = false
   fcc-mit-ticketflags = false

   default_tgs_enctypes = aes256-cts-hmac-sha1-96 rc4-hmac
   default_tkt_enctypes = aes256-cts-hmac-sha1-96 rc4-hmac
   permitted_enctypes = aes256-cts-hmac-sha1-96 rc4-hmac
   preferred_enctypes = aes256-cts-hmac-sha1-96 rc4-hmac

[realms]
   XXX.FR = {
     kdc = dc1.xxx.fr:88
     admin_server = dc1.xxx.fr:88
     default_domain = XXX.FR
   }
[domain_realm]
   .xxx.fr = XXX.FR
   xxx.fr = XXX.FR

.....
<IfModule !mod_auth_gssapi.c>
   LoadModule auth_gssapi_module /usr/lib64/httpd/modules/mod_auth_gssapi.so
</IfModule>
<Directory /var/www/wordpress>
   AuthType GSSAPI
   AuthName "Кераберос аутентификация"
   GssapiCredStore keytab:/etc/apache2/wpintranet.keytab
   Require valid-user
</Directory>
.....

Ответ или решение

Проблема с аутентификацией Kerberos через GSSAPI на клиенте с Windows 11 LTSC, в которой возникает ошибка "[An unsupported mechanism was requested (Unknown error)]", требует внимательного анализа. Рассмотрим основные моменты, которые могут быть причиной данной проблемы, и шаги для её устранения.

1. Версии и Совместимость

Сначала убедитесь, что версия GSSAPI, используемая на сервере Apache, совместима с клиентом Windows 11 LTSC. Иногда новые версии операционных систем могут иметь различные реализации или ограничения в механизмах аутентификации. Проверьте, каковы версии используемой библиотеки GSSAPI и совместимы ли они с Kerberos на клиенте.

2. Конфигурация Keytab

Ваш ключевой файл (keytab), созданный с помощью ktpass, содержит информацию о принципале HTTP и должен быть правильно сконфигурирован. Убедитесь, что:

• Адрес в принципале соответствует хосту, на котором работает Apache.
• В ktpass не было ошибок при создании ключа (логи создания ключа могут оказать помощь).

3. Конфигурация Kerberos (krb5.conf)

Конфигурация Kerberos имеет важное значение для успешной аутентификации:

• Убедитесь, что все настройки в krb5.conf правильные, такие как default_realm, а также параметры шифрования.
• Проверьте, что на клиенте стоит правильная версия и поддерживаемые механизмы шифрования (aes256-cts-hmac-sha1-96 и rc4-hmac) совпадают с теми, что указаны в конфигурации сервера.

4. Логи и Отладка

Логи Apache, которые вы предоставили, информируют о том, что возникла ошибка в контексте gss_accept_sec_context(). Для отладки подобной ошибки:

• Убедитесь, что в логах сервера указано больше информации о процессе аутентификации, возможно, очень важно включить отладочные сообщения в настройках mod_auth_gssapi.
• Включите отладку в Windows через команду Kerberos, чтобы увидеть, какие именно механизмы запрашиваются и отклоняются.

5. Механизмы Аутентификации

Проблема с "неподдерживаемым механизмом" может указывать на то, что клиент и сервер не согласовывают подходящий механизм аутентификации. Это может происходить из-за:

• Различий в конфигурации GSSAPI на клиенте и сервере.
• Ограничений, связанных с Windows 11 LTSC. Проверьте наличие обновлений и патчей для Windows и GSSAPI на стороне клиента.

6. Политики Безопасности

Иногда настройки безопасности в Windows 11 LTSC по умолчанию могут блокировать определенные механизмы аутентификации. Проверьте локальные политики безопасности (secpol.msc):

• Убедитесь в отсутствии ограничений на использование Kerberos или GSSAPI.

Заключение

Решение проблемы аутентификации Kerberos с GSSAPI на Windows 11 LTSC требует комплексного подхода, начиная от изучения совместимости ПО до детального анализа логов. Проверка всех приведенных факторов и поэтапная отладка помогут выявить первопричину проблемы. Если по завершении всех вышеуказанных шагов проблема не будет решена, рекомендуется обратиться к специализированным форумам или сообществам, где вы сможете получить дополнительную помощь от экспертов в данной области.