Mak*_*kin 7 authentication kerberos ubuntu-10.04
通过IP地址访问受Kerberos保护的站点时出现问题.例如:
http:/10.10.1.x:3001/ 给失败.
http:/my-host:3001/ sso成功完成.
Apache错误日志说:
src/mod_auth_kerb.c(1261):[client 10.10.1.x]获取HTTP@10.10.1.x [client 10.10.1.x] gss_acquire_cred()的信用失败:未指定的GSS失败.次代码可能会提供更多信息(未找到密钥表条目)
src/mod_auth_kerb.c(1261):[client 10.10.1.x获取HTTP @ my-host的信任[debug] src/mod_auth_kerb.c(1407):[client 10.10.1.x]使用KRB5 GSS验证客户端数据-API [debug] src/mod_auth_kerb.c(1423):[client 10.10.1.x] Verification返回代码0
正如您所见,Kerberos尝试查找HTTP@10.10.1.x或HTTP@my-host主要内容.两个主体都在ActiveDirectory中创建了虚拟帐户.在keytab文件中还包括它们:
KVNO Timestamp Principal
---- ----------------- -----------------------------------------------------
5 01/01/70 03:00:00 HTTP/10.10.1.x@MY_DOMAIN.LAN (ArcFour with HMAC/md5)
11 09/04/12 12:03:01 HTTP/my-host@MY_DOMAIN.LAN (ArcFour with HMAC/md5)
Kinit适用于他们两个.
服务器上的Kerberos配置:
Krb5Keytab /etc/krb5.keytab
AuthType Kerberos
KrbMethodNegotiate On
AuthName "Kerberos Login"
KrbAuthRealms MY_DOMAIN.LAN
KrbVerifyKDC Off
KrbMethodK5Passwd On
Require valid-user
有人可以猜到问题出在哪里了吗?是否可以在Kerberos SSO中使用IP地址?