Apache-2.4

在 keytab 中找不到 kerberos 請求票證伺服器

  • February 11, 2019

TL;博士

首先:我的伺服器名稱是 xy。

第二:我登錄的域是EXAMPLE.COM

第三:這是我的apache配置

<Location />
           AuthType Kerberos
           AuthName "Kerberos Login"
           KrbServiceName HTTP
           KrbMethodNegotiate On
           KrbMethodK5Passwd Off
           KrbAuthRealms EXAMPLE.COM
           KrbSaveCredentials On
           KrbVerifyKDC Off
           KrbLocalUserMapping on
           # This has to wait until we get the keytab file
           Krb5Keytab /etc/apache2/satypo3.keytab
           require valid-user
</Location>

第四:我生成keytab文件的方式是這樣的:

ktpass 
  -princ HTTP/chzugsvint001@INFRONT.LOCAL
  -mapuser kerdummy@EXAMPLE.COM
  -crypto AES256-SHA1
  -ptype KRB5_NT_PRINCIPAL
  -pass *PASS*
  -out C:\temp\satypo3.keytab

第五:我的 /etc/hosts 文件包含 127.0.1.1 xy

第六:我在訪問前端時遇到的錯誤如下:

[auth_kerb:error] [pid 4809] [client 192.168.3.170:56962] gss_accept_sec_context() failed: Unspecified GSS failure.  Minor code may provide more information (, Request ticket server HTTP/xy.example.com@EXAMPLE.COM not found in keytab (ticket kvno 6))

所以我沒有得到的是,雖然我沒有指定任何關於 xy.example.com 的內容,但 Kerberos 嘗試以此驗證伺服器並失敗。

有任何想法嗎?

長版:

我已經設置了一個 Apache Kerberos SSO 設置,因為多年來我在 DevOps 領域的許多同行已經做過很多次了,現在我也在這一點上。

我已經遵循了很多像這樣的很棒的演練,一切似乎都執行良好,直到使用者嘗試登錄時,使用者陷入無限循環的登錄彈出視窗。我嘗試解決此處描述的問題,只是為了發現所有內容都已正確設置。

所以你是我最後的希望,請幫助我Serverfault。

問候提香

編輯主要程式碼是000d0000,錯誤的次要程式碼是96c73a23

所以我終於弄清楚了似乎是什麼問題。

看起來,這些選項不能通過OnOff啟動或禁用,而是使用onoff

引用自:https://serverfault.com/questions/804243