Bereits im Jahr 2021 war Kerberos Support für Azure AD als Preview verfügbar. Seither ist viel geschehen und der dreiköpfige Höllenhund ist weiter auf dem Vormarsch und mischt die Cloud auf. Dieser Artikel ist ein Sammelsurium an Informationen, was Azure AD mit Kerberos und Azure Files schon ermöglicht und wohin die Reise gehen wird. Denn seit kurzem ist auch die Unterstützung von Azure Files mit Kerberos öffentlich kommuniziert, zum Zeitpunkt der Erstellung des Artikels allerdings noch in Preview.
Werdegang von Azure Files und Kerberos Support
Zum Verständnis möchte ich als erstes die Hintergrundgeschichte von Azure Files und Kerberos als Kurzform präsentieren.
Hinweis: Die folgenden Punkte dienen zur Übersicht. Für weitere Informationen zu den genannten Punkten, stehen jeweils Links zum Weiterlesen zur Verfügung.
Azure File Sync
Azure Files steht schon seit längerem zur Verfügung. Lange Zeit konnte damit ein oder mehrere On-Premises File Server mittels Azure File Sync synchronisiert werden. Durch das Cloud tiering von Azure File Sync gewannen Unternehmen die Möglichkeit, teuren und unnötigen On-Premises Speicherplatz einzusparen und diesen in der Azure Cloud zu beziehen, ohne auf Daten zu verzichten. Besonders effektiv ist dieses Konstrukt in Multi-Site Szenarien, in denen Azure Files als zentraler Dreh- und Angelpunkt fundiert und nur notwendige Daten zu den jeweiligen Sites geschrieben werden.
Azure Files identitätsbasierte Authentifizierung
Mit der identitätsbasierten Authentifizierung schafft Microsoft neue Möglichkeiten für Azure Files. Damit kann auf dem Azure File Share die Authentifizierung über ein verfügbares Active Directory konfiguriert werden. Benutzer, die im Active Directory existieren und ins Azure AD synchronisiert werden, können dadurch auf den Fileshare von Azure Files zugreifen, insofern sie berechtigt sind. Der Client muss allerdings der klassischen Domäne angehören und sich gegenüber dieser authentifizieren.
Unterstützt sind On-Premises AD DS und auch Azure AD DS.
Azure Files Identity Based Authentication
Azure AD Kerberos Support
Einer der meistgenannten Hauptunterschiede des Azure Active Directories (AAD) und einem klassischen Active Directory war bisher unter anderem, dass Azure AD kein Kerberos unterstützt. Doch Ende 2021 hat Microsoft die Preview von AAD Kerberos Support verkündet. schleichend hat AAD immer mehr an Kerberos Funktionalitäten dazugewonnen. Beispielsweise kann inzwischen der Zugriff auf lokale Ressourcen mit einmaligem Anmelden (SSO) über das Azure Active Directory, zusammen mit einem klassischen Active Directory gewährt werden. Das AAD kann also partielle Kerberos-Ticket-Granting Tickets (TGTs) ausstellen.
Wie das funktioniert, erfährst du unter diesem Link.
Sehr empfehlenswert ist der Tech Community Artikel: Deep dive: How Azure AD Kerberos works
Kudos an John Savill, der AAD Kerberos Support in einem Video erklärt, übersichtlich wie immer.
Ankündigung: Azure Files und Kerberos Support
Die Cloud Story von Azure Files und Azure AD geht in schnellen Zügen weiter. Am 30 August 2022 wurde von Microsoft mit dem Azure AD Kerberos Support für Azure Files Identitätsbasierte Authentifizierung der nächste Knüller angekündigt. Dieses Preview Feature ermöglicht nun in Kombination mit Azure AD Kerberos Support, dass sich Azure AD identifizierte Benutzer mit Azure Fileshares verbinden können, ohne jeglicher Sichtverbindung zur klassischen Domäne. Damit das funktioniert, müssen die Clients Azure AD verbunden (AAD-Join), oder Hybrid verbunden (Hybrid-Join) sein. Die Voraussetzung einer klassischen Domänen-Verbindung entfällt somit komplett, während die Benutzerkonten nach wie vor synchronisiert sein müssen.
Microsoft Ankündigung: AAD Kerberos und Azure Files
Im folgenden Video zeige ich auf, wie Azure AD Kerberos für Azure Files in nur wenigen Schritten aktiviert werden kann.
Einschränkungen und die Reise zum Cloud Only Fileserver
In meinen Augen ist die neuste Ankündigung von Azure Files und Kerberos Support eine grossartige Neuigkeit und ein grosser Schritt in Richtung Zukunft. Doch ganz am Ziel der Reise zum Cloud Only Fileserver ist Microsoft noch nicht. Folgende Einschränkungen bestehen unter anderem weiterhin.
SMB Port Blocking
Damit auf den Fileshare zugegriffen werden kann, muss die Verbindung über den SMB-Port (445) gewährleistet sein. Viele ISPs blockieren diesen Port standardmässig. Ein Zugriff über das Internet in der heutigen, mobilen Welt ist also meist nur über VPN zu realisieren. Somit besteht die Abhängigkeit eines Site-to-Site und / oder Point-to-Site VPN zur Verbindung mit Azure Files weiterhin. Es ist davon auszugehen, dass diese Hürde früher oder später durch Windows 11 beseitigt wird. Aktuell kann mit SMB over QUIC mit zusätzlicher Infrastruktur ein Workaround realisiert werden.
Cloud Synchronisierte Benutzer
Zum heutigen Zeitpunkt können nur synchronisierte Benutzer auf den Fileshare zugreifen. Nur in der Cloud existierenden Benutzern (Cloud Only) gelingt der Zugriff nicht. Das liegt wohl unter anderem daran, dass Azure AD noch keine vollwertigen, sondern nur partielle Kerberos-Ticket-Granting Tickets (TGTs) ausstellen kann. Eine bestehende Active Directory Umgebung ist daher noch Pflicht und verhindert den wirklichen Cloud Only Fileserver. Microsoft ist bestrebt, dass auch diese Vorgabe künftig nicht mehr existiert und ein vollwertiger Cloud Only Fileserver möglich ist. Aufgrund der Komplexität ist aber seitens Microsoft keine Zeitlinie bekannt.
Ich bin der Überzeugung, dass schon bald die nächsten News folgen werden, die uns Schritt für Schritt näher ans Ziel eines vollwertigen Cloud Only Fileservers bringen werden.
Azure Files und Kerberos Support – Die Cloud Story geht weiter. Stay tuned.
Quellen:
https://learn.microsoft.com/azure/storage/file-sync/file-sync-introduction?WT.mc_id=AZ-MVP-5004129