I problemi vengono visualizzati quando si accede al sito protetto da Kerberos tramite l'indirizzo IP. Ad esempio:Kerberos non riesce quando si accede al sito tramite l'indirizzo IP
http:/10.10.1.x:3001/
dà esito negativo.
http:/my-host:3001/
sso è stato completato correttamente.
Apache dicono:
src/mod_auth_kerb.c (1261): [client 10.10.1.x] L'acquisizione creds per [email protected] [client 10.10.1.x ] gss_acquire_cred() non riuscito: Errore GSS non specificato. Codice minore può fornire maggiori informazioni (chiave di entrata tabella non trovato)
src/mod_auth_kerb.c (1261): [10.10.1.x cliente Acquisizione creds per HTTP @ my-host [debug] src/mod_auth_kerb. c (1407): [10.10.1.x cliente] verifica dei dati client utilizzando krb5 GSS-API [debug] src/mod_auth_kerb.c (1423): [10.10.1.x cliente] verifica restituito codice 0
Come si poteva vedere Kerberos cerca di trovare [email protected]
o [email protected]
mandanti. Entrambi i principal hanno creato account fittizi in ActiveDirectory. Nel file keytab inclusi anche tutti e due:
KVNO Timestamp Principal
---- ----------------- -----------------------------------------------------
5 01/01/70 03:00:00 HTTP/[email protected]_DOMAIN.LAN (ArcFour with HMAC/md5)
11 09/04/12 12:03:01 HTTP/[email protected]_DOMAIN.LAN (ArcFour with HMAC/md5)
kinit funziona per entrambi.
Kerberos config sul server:
Krb5Keytab /etc/krb5.keytab
AuthType Kerberos
KrbMethodNegotiate On
AuthName "Kerberos Login"
KrbAuthRealms MY_DOMAIN.LAN
KrbVerifyKDC Off
KrbMethodK5Passwd On
Require valid-user
Qualcuno potrebbe indovinare dove è il problema? È possibile utilizzare l'indirizzo IP in Kerberos SSO?
È piuttosto scioccante per me e strano che in tutti gli articoli su Kerberos non sia mai stato menzionato. Potresti nominare un altro modo di autenticazione SSO che supporti gli indirizzi IP? –
Io non la penso così. Si prega di leggere [questo] (http://support.microsoft.com/kb/322979/en-us?fr=1) e [questo] (http://www.cmf.nrl.navy.mil/krb/kerberos -faq.html # kerbdns). Bene, il nome "SPN" implica che funzioni su * nomi * e non su indirizzi IP. Non c'è alternativa a Kerberos in un ambiente aziendale. Tutto il resto non è SSO. Perché non vuoi usare il nome host? L'intera Active Directory riguarda DNS, nomi di host e Kerberos. Ha usato il DNS per scoprire DC e KDC e molti altri servizi. –
Grazie, la tua risposta è stata davvero utile. I nostri partner usano i collegamenti degli indirizzi IP, sarà difficile farli usare DNS. –