Udostępnij za pośrednictwem

Użyj protokołu Kerberos na potrzeby logowania jednokrotnego (SSO) do zasobów przy użyciu usługi Dostęp Prywatny Microsoft Entra

  • Artykuł

Udostępnij logowanie jednokrotne dla zasobów lokalnych opublikowanych za pośrednictwem Dostęp Prywatny Microsoft Entra. Dostęp Prywatny Microsoft Entra używa protokołu Kerberos do obsługi tych zasobów. Opcjonalnie użyj zaufania protokołu Kerberos Windows Hello dla firm w chmurze, aby zezwolić na logowanie jednokrotne dla użytkowników.

Wymagania wstępne

Przed rozpoczęciem logowania jednokrotnego upewnij się, że środowisko jest gotowe.

  • Las usługi Active Directory. W przewodniku jest używana nazwa domeny lasu, którą można rozpoznać publicznie. Jednak publicznie rozwiązana domena nie jest wymaganiem.
  • Włączono profil przekazywania Dostęp Prywatny Microsoft Entra.
  • Najnowsza wersja łącznika Dostęp Prywatny Microsoft Entra jest zainstalowana na serwerze z systemem Windows, który ma dostęp do kontrolerów domeny.
  • Najnowsza wersja klienta globalnego bezpiecznego dostępu. Aby uzyskać więcej informacji na temat klienta, zobacz Global Secure Access clients (Global Secure Access clients).

Publikowanie zasobów do użycia z logowaniem jednokrotnym

Aby przetestować logowanie jednokrotne, utwórz nową aplikację dla przedsiębiorstw, która publikuje udział plików. Publikowanie udziału plików przy użyciu aplikacji dla przedsiębiorstw umożliwia przypisanie zasad dostępu warunkowego do zasobu i wymuszanie dodatkowych mechanizmów kontroli zabezpieczeń, takich jak uwierzytelnianie wieloskładnikowe.

  1. Zaloguj się do firmy Microsoft Entra jako co najmniej administrator aplikacji.
  2. Przejdź do aplikacji globalnych bezpiecznego dostępu>dla>przedsiębiorstw.
  3. Wybierz pozycję Nowa aplikacja.
  4. Dodaj nowy segment aplikacji z adresem IP serwera plików przy użyciu portu 445/TCP , a następnie wybierz pozycję Zapisz. Protokół SMB (Server Message Block) używa portu.
  5. Otwórz utworzoną aplikację dla przedsiębiorstw i wybierz pozycję Użytkownicy i grupy , aby przypisać dostęp do zasobu.

Urządzenia przyłączone do identyfikatora Entra firmy Microsoft — logowanie jednokrotne oparte na hasłach

Dodatkowa konfiguracja poza tym przewodnikiem nie jest wymagana, jeśli użytkownicy używają haseł do logowania się do systemu Windows.

Urządzenia dołączone do usługi Microsoft Entra ID opierają się na domenie usługi Active Directory i informacjach o użytkowniku synchronizowanych przez program Microsoft Entra ID Connect. Lokalizator kontrolera domeny systemu Windows znajduje kontrolery domeny z powodu synchronizacji. Główna nazwa użytkownika (UPN) i hasło użytkownika są używane do żądania biletu przyznania biletu protokołu Kerberos (TGT). Aby uzyskać więcej informacji na temat tego przepływu, zobacz Jak działa logowanie jednokrotne do zasobów lokalnych na urządzeniach dołączonych do firmy Microsoft.

Przyłączone do usługi Microsoft Entra ID i urządzenia dołączone hybrydowo do usługi Microsoft Entra ID — Windows Hello dla firm logowanie jednokrotne

Dodatkowa konfiguracja poza tym przewodnikiem jest wymagana dla Windows Hello dla firm.

Zalecane jest wdrożenie zaufania kerberos chmury hybrydowej za pomocą identyfikatora Entra firmy Microsoft. Urządzenia korzystające z zaufania protokołu Kerberos w chmurze uzyskują bilet TGT używany do logowania jednokrotnego. Aby dowiedzieć się więcej na temat zaufania protokołu Kerberos w chmurze, zobacz Włączanie logowania bez hasła do zasobów lokalnych przy użyciu identyfikatora Entra firmy Microsoft.

Aby wdrożyć zaufanie protokołu Kerberos w chmurze Windows Hello dla firm z lokalną usługą Active Directory.

  1. Utwórz obiekt serwera Kerberos identyfikatora Entra firmy Microsoft. Aby dowiedzieć się, jak utworzyć obiekt, zobacz Instalowanie modułu AzureADHybridAuthenticationManagement.
  2. Włącz zaufanie chmury WHfB na urządzeniach przy użyciu usługi Intune lub zasad grupy. Aby dowiedzieć się, jak włączyć usługę WHfB, zobacz Przewodnik wdrażania zaufania protokołu Kerberos w chmurze.

Publikowanie kontrolerów domeny

Kontrolery domeny muszą być publikowane dla klientów w celu uzyskania biletów Protokołu Kerberos. Bilety są wymagane do logowania jednokrotnego do zasobów lokalnych.

Opublikuj co najmniej wszystkie kontrolery domeny skonfigurowane w lokacji usługi Active Directory, w której są zainstalowane łączniki dostępu prywatnego. Jeśli na przykład łączniki dostępu prywatnego znajdują się w centrum danych Brisbane, opublikuj wszystkie kontrolery domeny w centrum danych Brisbane.

Porty kontrolera domeny są wymagane do włączenia logowania jednokrotnego do zasobów lokalnych.

Port Protokół Purpose
88 Protokół UDP (User Datagram Protocol) / Transmission Control Protocol (TCP) Kerberos
389 UDP Lokalizator kontrolera domeny
464 UDP/TCP Żądanie zmiany hasła
123 UDP Synchronizacja czasu

Uwaga

Przewodnik koncentruje się na włączaniu logowania jednokrotnego do zasobów lokalnych i wyklucza konfigurację wymaganą dla klientów przyłączonych do domeny systemu Windows do wykonywania operacji domeny (zmiana hasła, zasady grupy itp.).

  1. Zaloguj się do firmy Microsoft Entra jako co najmniej administrator aplikacji.
  2. Przejdź do aplikacji globalnych bezpiecznego dostępu>dla>przedsiębiorstw.
  3. Wybierz pozycję Nowa aplikacja , aby utworzyć nową aplikację do publikowania kontrolerów domeny.
  4. Wybierz pozycję Dodaj segment aplikacji, a następnie dodaj wszystkie adresy IP kontrolerów domeny lub w pełni kwalifikowane nazwy domen (FQDN) i porty zgodnie z tabelą. Należy opublikować tylko kontrolery domeny w lokacji usługi Active Directory, w której znajdują się łączniki dostępu prywatnego.

Uwaga

Upewnij się, że nie używasz wieloznacznych nazw FQDN do publikowania kontrolerów domeny, zamiast tego dodaj ich określone adresy IP lub nazwy FQDN.

Po utworzeniu aplikacji dla przedsiębiorstw przejdź z powrotem do aplikacji i wybierz pozycję Użytkownicy i grupy. Dodaj wszystkich użytkowników zsynchronizowanych z usługą Active Directory.

Publikowanie sufiksów DNS

Skonfiguruj prywatny system DNS, aby klienci globalnego bezpiecznego dostępu mogli rozpoznawać prywatne nazwy DNS. Prywatna strefa DNS nazwy są wymagane do logowania jednokrotnego. Klienci używają ich do uzyskiwania dostępu do opublikowanych zasobów lokalnych. Aby dowiedzieć się więcej na temat Prywatna strefa DNS za pomocą szybkiego dostępu, zobacz how-to-configure-quick-access.md#add-private-dns-sufiksy.

  1. Przejdź do witryny Global Secure Access Applications Quick Access (Szybkie uzyskiwanie dostępu do globalnych aplikacji>bezpiecznego dostępu).>
  2. Wybierz kartę Prywatna strefa DNS, a następnie wybierz pozycję Włącz Prywatna strefa DNS.
  3. Wybierz pozycję Dodaj sufiks DNS. Dodaj co najmniej sufiksy najwyższego poziomu lasów usługi Active Directory hostowanych przez użytkowników zsynchronizowanych z identyfikatorem Entra firmy Microsoft.
  4. Wybierz pozycję Zapisz.

Jak używać logowania jednokrotnego Kerberos w celu uzyskania dostępu do udziału plików SMB

Na tym diagramie pokazano, jak działa Dostęp Prywatny Microsoft Entra podczas próby uzyskania dostępu do udziału plików SMB z urządzenia z systemem Windows skonfigurowanego przy użyciu Windows Hello dla firm i zaufania w chmurze. W tym przykładzie administrator skonfigurował Prywatna strefa DNS szybki dostęp i dwie aplikacje dla przedsiębiorstw — jeden dla kontrolerów domeny i jeden dla udziału plików SMB.

Diagram Dostęp Prywatny Microsoft Entra przy użyciu logowania jednokrotnego Kerberos dla udziału plików SMB.

Krok opis
A Użytkownik próbuje uzyskać dostęp do udziału plików SMB przy użyciu nazwy FQDN. Klient GSA przechwytuje ruch i tuneluje go do usługi SSE Edge. Zasady autoryzacji w identyfikatorze Entra firmy Microsoft są oceniane i wymuszane, takie jak to, czy użytkownik jest przypisany do aplikacji i dostępu warunkowego. Po autoryzowanym użytkowniku identyfikator Entra firmy Microsoft wystawia token aplikacji SMB Enterprise. Ruch jest zwalniany, aby kontynuować korzystanie z usługi Dostępu prywatnego wraz z tokenem dostępu aplikacji. Usługa dostępu prywatnego weryfikuje token dostępu, a połączenie jest obsługiwane z usługą zaplecza dostępu prywatnego. Połączenie jest następnie obsługiwane przez łącznik sieci prywatnej.
B Łącznik sieci prywatnej wykonuje zapytanie DNS w celu zidentyfikowania adresu IP serwera docelowego. Usługa DNS w sieci prywatnej wysyła odpowiedź. Łącznik sieci prywatnej próbuje uzyskać dostęp do docelowego udziału plików SMB, który następnie żąda uwierzytelniania Kerberos.
C Klient generuje zapytanie DNS SRV w celu zlokalizowania kontrolerów domeny. Faza A jest powtarzana, przechwytując zapytanie DNS i autoryzując użytkownika dla aplikacji Szybki dostęp. Łącznik sieci prywatnej wysyła zapytanie DNS SRV do sieci prywatnej. Usługa DNS wysyła odpowiedź DNS do klienta za pośrednictwem łącznika sieci prywatnej.
D Urządzenie z systemem Windows żąda częściowego biletu TGT (nazywanego również TGT w chmurze) z identyfikatora Entra firmy Microsoft (jeśli jeszcze go nie ma). Identyfikator entra firmy Microsoft wystawia częściową bilet TGT.
E System Windows inicjuje połączenie lokalizatora kontrolera domeny za pośrednictwem portu UDP 389 z każdym kontrolerem domeny wymienionym w odpowiedzi DNS z fazy C. Faza A jest powtarzana, przechwytywanie ruchu lokalizatora kontrolera domeny i autoryzowanie użytkownika dla aplikacji przedsiębiorstwa, która publikuje lokalne kontrolery domeny. Łącznik sieci prywatnej wysyła ruch lokalizatora kontrolerów domeny do każdego kontrolera domeny. Odpowiedzi są przekazywane z powrotem do klienta. System Windows wybiera i buforuje kontroler domeny z najszybszą odpowiedzią.
F Klient wymienia częściowy bilet TGT dla pełnego biletu TGT. Pełny TGT jest następnie używany do żądania i odbierania TGS dla udziału plików SMB.
G Klient przedstawia usługę TGS do udziału plików SMB. Udział plików SMB weryfikuje usługę TGS. Dostęp do udziału plików jest udzielany.

Rozwiązywanie problemów

Urządzenia przyłączone do usługi Microsoft Entra ID przy użyciu uwierzytelniania haseł polegają na atrybutach synchronizowanych przez program Microsoft Entra ID Connect. Upewnij się, że atrybuty onPremisesDomainName, onPremisesUserPrincipalNamei onPremisesSamAccountName mają odpowiednie wartości. Użyj Eksploratora programu Graph i programu PowerShell, aby sprawdzić wartości.

Jeśli te wartości nie są obecne, sprawdź ustawienia synchronizacji programu Microsoft Entra ID Connect i sprawdź, czy te atrybuty są synchronizowane. Aby dowiedzieć się więcej na temat synchronizacji atrybutów, zobacz Microsoft Entra Connect Sync: Atrybuty zsynchronizowane z identyfikatorem Entra firmy Microsoft.

Jeśli używasz Windows Hello dla firm do logowania, uruchom polecenia z nieistnienego wiersza polecenia. dsregcmd /status

Sprawdź, czy atrybuty mają YES jako wartości.

PRT powinien być obecny. Aby dowiedzieć się więcej na temat PRTusługi , zobacz Rozwiązywanie podstawowych problemów z tokenem odświeżania na urządzeniach z systemem Windows.

OnPremTgt : TAK wskazuje, że protokół Entra Kerberos jest poprawnie skonfigurowany, a użytkownik otrzymał częściowy bilet TGT dla logowania jednokrotnego do zasobów lokalnych. Aby dowiedzieć się więcej na temat konfigurowania zaufania protokołu Kerberos w chmurze, zobacz Logowanie bez hasła do zasobów lokalnych.

Uruchom polecenie klist.

klist cloud_debug

Sprawdź, Cloud Primary (Hybrid logon) TGT available: czy pole ma wartość 1.

Uruchom polecenie nltest.

nltest /dsgetdc:contoso /keylist /kdc

Sprawdź, czy lokalizator kontrolera domeny zwraca kontroler domeny, który jest uczestnikiem operacji zaufania protokołu Kerberos w chmurze. Zwrócony kontroler domeny powinien mieć flagę klist .

Jak uniknąć negatywnego buforowania protokołu Kerberos na maszynach z systemem Windows

Kerberos to preferowana metoda uwierzytelniania dla usług w systemie Windows, które weryfikują tożsamości użytkowników lub hostów. Buforowanie ujemne protokołu Kerberos powoduje opóźnienie w biletach Kerberos.

Buforowanie ujemne protokołu Kerberos odbywa się na urządzeniach z systemem Windows z zainstalowanym klientem globalnego bezpiecznego dostępu. Klient GSA próbuje nawiązać połączenie z najbliższym kontrolerem domeny dla biletu protokołu Kerberos, ale żądanie kończy się niepowodzeniem, ponieważ klient GSA nadal nie jest połączony lub kontroler domeny nie jest osiągalny w tej chwili. Gdy żądanie zakończy się niepowodzeniem, klient nie spróbuje ponownie nawiązać połączenia z kontrolerem domeny, natychmiast, ponieważ domyślny FarKdcTimeout czas w rejestrze jest ustawiony na 10 minut. Mimo że klient GSA może być połączony przed tym domyślnym czasem 10 minut, klient GSA trzyma się negatywnego wpisu pamięci podręcznej i uważa, że proces lokalizowania kontrolera domeny jest niepowodzeniem. Po zakończeniu domyślnego czasu 10 minut klient GSA wysyła zapytania dotyczące kontrolera domeny z biletem Kerberos i połączenie zakończy się pomyślnie.

Aby rozwiązać ten problem, możesz zmienić domyślny FarKdcTimeout czas w rejestrze lub ręcznie natychmiast opróżnić pamięć podręczną Kerberos za każdym razem, gdy klient GSA zostanie ponownie uruchomiony.

Opcja 1. Zmiana domyślnego czasu FarKdcTimeout w rejestrze

Jeśli korzystasz z systemu Windows, możesz zmodyfikować parametry protokołu Kerberos, aby ułatwić rozwiązywanie problemów z uwierzytelnianiem Kerberos lub przetestować protokół Kerberos.

Ważne

W tej sekcji, metodzie lub w tym zadaniu podano informacje dotyczące modyfikowania rejestru. Niepoprawne zmodyfikowanie rejestru może jednak być przyczyną poważnych problemów. Dlatego należy uważnie wykonać poniższe kroki. Aby zapewnić dodatkową ochronę, utwórz kopię zapasową rejestru przed przystąpieniem do jego modyfikacji. Dzięki temu będzie można przywrócić rejestr w przypadku wystąpienia problemu. Aby uzyskać więcej informacji na temat sposobu tworzenia kopii zapasowych, przywracania i modyfikowania rejestru, zobacz artykuł Tworzenie kopii zapasowych i przywracanie rejestru systemu Microsoft Windows.

Wpisy i wartości rejestru w kluczu Parametry

Wpisy rejestru wymienione w tej sekcji muszą zostać dodane do następującego podklucza rejestru:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters

Uwaga

Parameters Jeśli klucz nie znajduje się na liście w obszarze Kerberos, musisz go utworzyć.

Zmodyfikuj następujący FarKdcTimeout wpis rejestru

  • Wpis: FarKdcTimeout
  • Typ: REG_DWORD
  • Wartość domyślna: 0 (minutes)

Jest to wartość limitu czasu używana do unieważnienia kontrolera domeny z innej lokacji w pamięci podręcznej kontrolera domeny.

Opcja 2. Ręczne przeczyszczanie pamięci podręcznej Kerberos

Jeśli zdecydujesz się ręcznie przeczyścić pamięć podręczną Kerberos, ten krok będzie musiał zostać ukończony za każdym razem, gdy klient GSA zostanie uruchomiony ponownie.

Otwórz wiersz polecenia jako administrator i uruchom następujące polecenie: KLIST PURGE_BIND

Następne kroki