1. casa
  2. Domanda e risposta
  3. Kerberos non riesce quando si accede al sito tramite l'indirizzo IP

Kerberos non riesce quando si accede al sito tramite l'indirizzo IP

2012-09-04 15 views
5

I problemi vengono visualizzati quando si accede al sito protetto da Kerberos tramite l'indirizzo IP. Ad esempio:Kerberos non riesce quando si accede al sito tramite l'indirizzo IP

http:/10.10.1.x:3001/ dà esito negativo.

http:/my-host:3001/ sso è stato completato correttamente.

log di errore

Apache dicono:

src/mod_auth_kerb.c (1261): [client 10.10.1.x] L'acquisizione creds per [email protected] [client 10.10.1.x ] gss_acquire_cred() non riuscito: Errore GSS non specificato. Codice minore può fornire maggiori informazioni (chiave di entrata tabella non trovato)

src/mod_auth_kerb.c (1261): [10.10.1.x cliente Acquisizione creds per HTTP @ my-host [debug] src/mod_auth_kerb. c (1407): [10.10.1.x cliente] verifica dei dati client utilizzando krb5 GSS-API [debug] src/mod_auth_kerb.c (1423): [10.10.1.x cliente] verifica restituito codice 0

Come si poteva vedere Kerberos cerca di trovare [email protected] o [email protected] mandanti. Entrambi i principal hanno creato account fittizi in ActiveDirectory. Nel file keytab inclusi anche tutti e due:

KVNO Timestamp   Principal 
---- ----------------- ----------------------------------------------------- 
    5 01/01/70 03:00:00 HTTP/[email protected]_DOMAIN.LAN (ArcFour with HMAC/md5) 

    11 09/04/12 12:03:01 HTTP/[email protected]_DOMAIN.LAN (ArcFour with HMAC/md5)

kinit funziona per entrambi.

Kerberos config sul server:

Krb5Keytab /etc/krb5.keytab 
    AuthType Kerberos 
    KrbMethodNegotiate On 
    AuthName "Kerberos Login" 
    KrbAuthRealms MY_DOMAIN.LAN 
    KrbVerifyKDC Off 
    KrbMethodK5Passwd On 
    Require valid-user

Qualcuno potrebbe indovinare dove è il problema? È possibile utilizzare l'indirizzo IP in Kerberos SSO?

fonte

2012-09-04 Maksim Sirotkin

risposta

9

Kerberos non funziona con indirizzi IP, si basa su nomi di dominio e corregge solo le voci DNS.

fonte

2012-09-05 10:00:10

+0

È piuttosto scioccante per me e strano che in tutti gli articoli su Kerberos non sia mai stato menzionato. Potresti nominare un altro modo di autenticazione SSO che supporti gli indirizzi IP? –

+0

Io non la penso così. Si prega di leggere [questo] (http://support.microsoft.com/kb/322979/en-us?fr=1) e [questo] (http://www.cmf.nrl.navy.mil/krb/kerberos -faq.html # kerbdns). Bene, il nome "SPN" implica che funzioni su * nomi * e non su indirizzi IP. Non c'è alternativa a Kerberos in un ambiente aziendale. Tutto il resto non è SSO. Perché non vuoi usare il nome host? L'intera Active Directory riguarda DNS, nomi di host e Kerberos. Ha usato il DNS per scoprire DC e KDC e molti altri servizi. –

+0

Grazie, la tua risposta è stata davvero utile. I nostri partner usano i collegamenti degli indirizzi IP, sarà difficile farli usare DNS. –

1

In un articolo della Microsoft KB si dice che è in base alla progettazione:

https://support.microsoft.com/en-ca/kb/322979

Il titolo di cui sopra KB è: Kerberos non viene utilizzato quando ci si connette a condivisioni SMB utilizzando indirizzo IP

fonte

2016-07-08 21:59:05 Jim

Problemi correlati

 Problemi correlati