Deployment
Deployment
Breadcrumbs

Integrierte Windows-Authentifizierung

Die integrierte Windows-Authentifizierung (IWA) ermöglicht es Benutzern in einer Windows-Domäne, sich bei MyQ anzumelden, ohne ihre Anmeldedaten erneut eingeben zu müssen. Wenn sowohl der MyQ-Server als auch das Client-Gerät der Domäne angehören, kann die Authentifizierung automatisch unter Verwendung der Windows-Identität des Benutzers erfolgen.

MyQ unterstützt die von IWA verwendeten Authentifizierungsprotokolle: Kerberos und NTLM. Kerberos wird zuerst versucht, wenn die Bedingungen dies zulassen (domänengebundenes Gerät, korrekte DNS-/SPN-Konfiguration). NTLM wird nur verwendet, wenn Kerberos nicht angewendet werden kann (z. B. bei nicht domänengebundenen Geräten, in Legacy-Umgebungen oder aufgrund falsch konfigurierter SPNs). Optional können Sie auf dem MyQ-Server eine reine Kerberos-Authentifizierung erzwingen.

Protokollvergleich

Funktion / Verhalten

Kerberos

NTLMv2

Sicherheitsstärke

Hoch (gegenseitige Authentifizierung, Tickets)

Mäßig (Challenge-Response)

Domänenmitgliedschaft erforderlich

Ja

Bevorzugt, funktioniert aber auch in anderen Szenarien

Erfordert SPN

Ja

Nein

Serverzugriff

FQDN

FQDN, IP-Adresse, Hostname

Kompatibel mit Geräten außerhalb der Domäne

Nein

Ja (Fallback)

Empfohlen für MyQ

Ja

Nur wenn Kerberos nicht verfügbar ist

Kann deaktiviert werden

Ja (über Richtlinie)

Ja, über GPO oder MyQ-Konfigurationsparameter
[Security]
KerberosOnly=true

Voraussetzungen

  • Active Directory Domain Services (AD DS) ist als Dienst ausgeführt.

  • DNS löst den FQDN Ihres MyQ-Servers korrekt auf.

  • Der MyQ-Server und die Client-Geräte sind derselben Domäne (oder vertrauenswürdigen Domänen) beigetreten.

  • AD ist in MyQ als Authentifizierungsserver konfiguriert, und die Benutzer sind synchronisiert.

  • Die Anmeldung mit Windows-Authentifizierung ist unter „MyQ > Einstellungen > Benutzerauthentifizierung“ aktiviert.

  • Die Zeitsynchronisation zwischen Domänencontrollern, Servern und Clients ist korrekt.

IWA funktioniert nur in domänengebundenen oder vertrauenswürdigen Domänenumgebungen. Geräte außerhalb der Domäne können sich nicht im Hintergrund authentifizieren.

Serverkonfiguration

MyQ benötigt keinen IIS; MyQ nutzt Windows (http.sys) für die SPN-basierte Authentifizierung über die Windows HTTP Server-API. Aus diesem Grund muss der SPN auf dem Computerkonto des MyQ-Servers und nicht auf einem Dienstkonto registriert sein.

Wenn NTLM für ältere Systeme erforderlich ist, erzwingen Sie NTLMv2. Andernfalls deaktivieren Sie NTLM vollständig.

Client-Konfiguration

Konfigurieren Sie Browser (Edge, Chrome, Firefox) so, dass sie dem FQDN des MyQ-Servers als Intranet-Site vertrauen, und aktivieren Sie IWA.

Beispiel: Microsoft Edge

  • Internetoptionen > Erweitert > Sicherheit > Integrierte Windows-Authentifizierung aktivieren.

  • Internetoptionen > Sicherheit > Lokales Intranet > Websites > Erweitert, fügen Sie hier die Intranet-Websites hinzu. Gehen Sie dann zu Benutzerdefinierte Stufe > Benutzerauthentifizierung > Anmeldung > Automatische Anmeldung nur in der Intranet-Zone.

Um die Windows-Authentifizierung (Seamless SSO) auf dem Desktop Client für domänengebundene Geräte zu aktivieren, ändern Sie dessen Konfigurationsprofil auf dem MyQ-Server.

Gruppenrichtlinien und Kerberos-Durchsetzung

Verwenden Sie die Windows-Gruppenrichtlinieneinstellungen, um das Authentifizierungsverhalten für alle domänengebundenen Systeme zentral zu verwalten. MyQ bietet außerdem eine Option auf Serverebene, um Kerberos durchzusetzen, ohne andere Dienste zu beeinträchtigen.

Gültigkeitsbereich

Konfigurationsort

Zweck

Hinweise

Nur MyQ

config.ini

Erzwingt die Kerberos-Authentifizierung für MyQ

Hat keinen Einfluss auf die NTLM-Nutzung durch andere Dienste

Domänenweit (Kerberos)

Computer Configuration → Policies → Windows Settings → Security Settings → Account Policies → Kerberos Policy

Steuert die Gültigkeitsdauer von Kerberos-Tickets, deren Verlängerung und die Uhrzeitabweichung

Gilt für alle domänengebundenen Server und Clients

Domänenweit (NTLM)

Computer Configuration → Policies → Windows Settings → Security Settings → Local Policies → Security Options

Schränkt die NTLM-Authentifizierung ein oder deaktiviert sie

Durch die Deaktivierung von NTLM wird Kerberos domänenweit erzwungen

Kerberos-Workflow

  1. Erhalt eines Ticket Granting Ticket (TGT): Domänengebundene Clients erhalten ein TGT vom Key Distribution Center (KDC).

  2. Anforderung eines Service-Tickets: Der Client fordert ein Service-Ticket HTTP/<FQDN> vom KDC an.

  3. Token-Validierung: Der MyQ-Server validiert das Service-Ticket anhand des registrierten SPN.

Benutzeranmeldung

IWA in der MyQ-Weboberfläche

Die Windows-Authentifizierung kann unter „MyQ > Einstellungen > Benutzerauthentifizierung“ aktiviert werden. Nach der Aktivierung erscheint auf dem Anmeldebildschirm eine IWA-Anmeldemethode, während andere Methoden für Benutzer, die nicht unter IWA fallen (z. B. BYOD-Benutzer, Gäste oder Administratoren), weiterhin verfügbar bleiben.

Wenn ein Benutzer von einem Windows-Gerät aus, das einer Domäne angehört, auf das MyQ-Webinterface zugreift, versucht MyQ zunächst die Authentifizierung über Kerberos, mit Fallback auf NTLM, sofern der NTLM-Fallback nicht deaktiviert ist.

Wenn die Windows-Authentifizierung fehlschlägt, wird der Benutzer mit der Fehlermeldung „Ungültige Anmeldedaten“ zum Standard-Anmeldebildschirm weitergeleitet.

MyQ X Login Screen

IWA im MyQ Desktop Client

Die Windows-Authentifizierung kann für bestimmte Konfigurationsprofile unter „Einstellungen > MyQ Desktop Client“ aktiviert werden.

Wenn ein Benutzer den Desktop Client auf einem Windows-Gerät startet, das einer Domäne angehört, versucht MyQ zunächst die Authentifizierung über Kerberos. Wenn Kerberos nicht verfügbar ist oder fehlschlägt, greift MyQ auf NTLM zurück, sofern der NTLM-Fallback nicht deaktiviert ist.

Wenn die Windows-Authentifizierung fehlschlägt, werden Benutzer zum Standard-Anmeldebildschirm weitergeleitet, um MyQ-Anmeldedaten oder die LDAP-Validierung anhand eines Remote-Benutzerverzeichnisses zu verwenden.

Fehlerbehebung

Authentifizierungsprotokolle und Überprüfung

Bei Verwendung von IWA wird die Authentifizierung von Windows und Active Directory übernommen. Aus diesem Grund gibt es keine MyQ-spezifischen Protokolle, die das für eine bestimmte Anmeldung verwendete Protokoll explizit angeben.

Sie können die Authentifizierungsaktivitäten im Windows-Sicherheitsprotokoll auf dem Domänencontroller überprüfen:

  • Kerberos-Authentifizierungsereignisse umfassen in der Regel:

    • Erfolgreiche Anmeldung: Ereignis-ID 4624 (Anmeldetyp 3 oder 10)

    • TGT-Anforderung: 4768

    • Service-Ticket-Anforderung: 4769

    • Authentifizierungsfehler: 4771, 4775

  • NTLM-Authentifizierungsversuche werden als Sicherheitsereignisse protokolliert, was auf die Verwendung von NTLM hinweist.

Diese Ereignisse zeigen an, ob Kerberos oder NTLM verwendet wurde, und identifizieren den Ursprungscomputer (Hostname oder IP-Adresse). Diese Ereignisse identifizieren MyQ nicht als die Anwendung, die die Anfrage initiiert hat.

Domänenzuordnung

In Windows-Umgebungen kann der bei der Authentifizierung verwendete Domänenname in verschiedenen Formaten auftreten, am häufigsten als NetBIOS-Name (Kurzname) oder als DNS-Domänenname (FQDN). Damit die IWA erfolgreich ist, muss die vom Client angegebene Domäne mit der im MyQ-Server konfigurierten Domäne übereinstimmen.

Die Authentifizierung kann fehlschlagen, wenn diese Formate voneinander abweichen – beispielsweise wenn sich der Benutzer als ACME\jdoe , MyQ jedoch für acme.example.com. Dies tritt besonders häufig bei NTLM auf, wo der Domänenwert streng ausgewertet wird.

Um solche Umgebungen zu unterstützen, bietet MyQ den domainsMapping Parameter, mit dem Sie NetBIOS-Domänennamen den entsprechenden DNS-Domänennamen zuordnen können. Informationen zur Verwendung dieses Parameters finden Sie Advanced Configurationunter (10.2) Referenz zur erweiterten Konfiguration.

SPN-Registrierung

So registrieren Sie den erforderlichen SPN für das MyQ-Server-Computerkonto:

  1. Öffnen Sie die Eingabeaufforderung als Administrator auf einem Domänencontroller.

  2. Führen Sie Folgendes aus:
    setspn -S HTTP/myqserver.domain.com MYQSERVER

  3. Registrierung überprüfen:
    setspn -L MYQSERVER

  4. Vergewissern Sie sich, dass der Eintrag HTTP/myqserver.domain.com angezeigt wird.

Ressourcen