Kerberos认证问题的调试试验

Kerberos作为一种windows推荐的集成认证方式被广泛的应用，也有很多文章介绍Kerberos认证方式，这里通过一个Kerberos认证问题的调试试验来介绍一下Kerberos的认证流程以及相关的调试工具和方法。

Kerberos认证流程

总的来说Kerberos是通过统一的认证服务器来对客户端进行认证，认证成功后客户端才能取得访问真正服务器的凭据。所以认证流程中涉及了三个方面如下图所示。

客户端 - Client
凭据分发中心 - Key Distribution Center (包含认证服务和凭据分发服务)
服务器 - Server

认证流程(简化版)
第一步，客户端与认证服务通信，认证自己后得到访问凭据分发服务的session key
第二步，客户端与凭据分发服务通讯，得到他要访问的具体服务相应的凭据
第三步，客户端与服务器相互认证后，请求真正的服务器相关服务

当然这个过程中每个请求都包含的信息非常复杂，如果要具体了解可以参考这里
http://msdn.microsoft.com/en-us/library/ff647076.aspx

为什么客户端在第二步的时候可以得到具体的服务相应的的凭据，而不是整个服务器的凭据，这个是通过SPN (service principle name)来实现的。SPN注册在DC上面，SPN的格式一般为
服务类型名/主机名：端口号 注册用户
例如 Http/dof2008-01:8080 www.dof.com\dof02

正是因为有了SPN客户端请求的时候会确定其访问的服务类型，以及相应的主机名和端口号，这样凭据分发服务就可以在DC上面查找到相应的注册用户，然后通过这个注册用户的信息对接下来客户端要发送给服务器的凭据加密，服务器通过相应服务的用户信息对凭据解密从而可以认证客户端。

认证问题调试试验

问题描述

客户端访问服务器网站时，网站持续弹出认证窗口，即使输入正确的用户名和密码也是一样的结果，三次尝试失败之后显示未授权页面如下。

调试过程

调试问题需要用到以下工具

• klist - windows2008自带，用来显示、清除本地缓存的凭据
• setspn - windows2008自带，用来显示、注册更改spn
  
• network monitor -网络抓包
• system event log - 查看kerberos认证错误

首先清空IE缓存 - 命令：RunDll32.exe InetCpl.cpl,ClearMyTracksByProcess 8

清空本地缓存凭据 - 命令：klist purge

清空本地缓存dns记录 - 命令：ipconfig /flushdns

打开客户端kerberos认证系统日志 -添加以下注册表键值

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters
Registry Value: LogLevel
Value Type: REG_DWORD
Value Data: 0x1

客户端打开networkmonitor开始抓网络包，通过IE发送请求，服务器弹认证对话框，输入用户名和密码发送。

查看系统日志发现如下错误。

有了具体错误代码就好办了，可以到微软下载这个文档，找到相应的代码出错原因。

Troubleshooting Kerberos Errors

对于我们得到的KRB_AP_ERR_MODIFIED错误而言，原因是客户端得到的票据在服务器端不能被正确解密，其原因多是由于SPN注册的账户与服务器服务实际用来解密的账户不符。接下来我们来验证两边账户是否统一。

首先看一下网络抓包，在客户端与票据分发服务交互的请求(KerberosV5:TGS)中，请求的服务为http/dof2008-01.www.dof.com。服务器会选择用相应spn注册账户来加密票据。

在服务器通过setspn命令查看相应的注册账户是什么，找到了注册账户为CN=dof1

得到了spn对应的账户，接下来看一下IIS服务器端对应的解密账户是什么。应用程序域账户dof1,这是正确的。

接下来看另外一个影响因素，windows认证的内核认证模式是否启用(如果启用内核认证模式，默认情况下会用主机名对应账户来解密客户端凭证)，一看果然启用了内核认证模式。

解决办法

就这个问题而言有多种解决方案，比如

禁用内核认证方式

或者更改如下配置让内核认证方式下也要根据应用程序池的账户来解密凭据

也可以更改服务器spn设置使用服务器主机账户

总之要使得spn注册账户与服务器服务账户一致即可。

参考文档

Troubleshooting Kerberos
http://technet.microsoft.com/zh-cn/library/cc728430(v=ws.10).aspx

Troubleshooting Kerberos Errors
http://www.microsoft.com/en-us/download/details.aspx?id=21820

Troubleshooting Kerberos Delegation
http://www.microsoft.com/en-us/download/details.aspx?id=4754

Microsoft Kerberos
http://msdn.microsoft.com/en-us/library/aa378747.aspx

Kerberos Explained
http://technet.microsoft.com/en-us/library/bb742516.aspx

Explained: Windows Authentication in ASP.NET 2.0
http://msdn.microsoft.com/en-us/library/ff647076.aspx