Dyl*_*ens 5 apache security kerberos
我正在使用mod_auth_kerb和Apache HTTPD来针对Kerberos服务器对网站用户进行身份验证.我在Apache错误日志中收到一条奇怪的错误消息.(请注意,出于安全原因,我已在本帖中更改了主体,但格式保持不变).打开Apache的调试级别输出允许我获取更多信息性日志:
[debug] src/mod_auth_kerb.c(1932): [client x.x.x.x] kerb_authenticate_user entered with user (NULL) and auth_type Kerberos
[debug] src/mod_auth_kerb.c(1277): [client x.x.x.x] Acquiring creds for HTTP/kerberos_server.example.com@REALM.EXAMPLE.COM
[debug] src/mod_auth_kerb.c(1470): [client x.x.x.x] Credentials cache FILE:/tmp/krb5cc_48 not found, create one
[error] [client x.x.x.x] Could not parse principal HTTP/kerberos_server.example.com@REALM.EXAMPLE.COM/server_hostname: Malformed representation of principal (-1765328250)
[debug] src/mod_auth_kerb.c(1598): [client x.x.x.x] Failed to obtain credentials for s4u2proxy
[debug] src/mod_auth_kerb.c(1137): [client x.x.x.x] GSS-API major_status:000d0000, minor_status:0000000d
[error] [client x.x.x.x] gss_acquire_cred() failed: Unspecified GSS failure. Minor code may provide more information (, Permission denied)
我想问题是在主体末尾的"/ server_hostname".在我的Kerberos keytab文件中,主体列为HTTP/kerberos_server.example.com@EXAMPLE.COM.如何更改提交给mod_auth_kerb的主体?或者有另一种方法来协调这个解析错误?
结果证明是文件系统权限问题.keytab由root:root拥有,权限设置为仅对所有者进行读/写(0600).因此,Apache HTTPD无法访问keytab文件.我仍然不知道mod_auth_kerb是如何提出它的上下文发起者主体的.但是,现在Apache可以读取密钥表,一切正常.
| 归档时间: |
|
| 查看次数: |
9426 次 |
| 最近记录: |