Я действительно собираюсь потерять сознание с этой проблемой, поэтому надеюсь, что вы сможете мне помочь. У меня много часов в Интернете, но я просто не могу получить правильную конфигурацию.CentOS 7 Apache HTTPD Kerberos Проблемы с Windows AD
Я устанавливаю Apache на CentOS 7 с аутентификацией Kerberos, чтобы я мог достичь единого входа в среде Windows AD. По моему мнению, это возможно, и я должен иметь возможность достичь истинного SSO при доступе через Internet Explorer. В настоящее время у меня есть следующая конфигурация, которая генерирует 500 Internal Server Error при доступе к сайту через Internet Explorer, но странно работает при использовании Firefox (хотя я должен вводить учетные данные в подсказку).
Сначала я создал Принципа обслуживания и экспортировал keytab в Windows, используя следующую команду.
ktpass -princ HTTP/[email protected] -mapuser EXAMPLE\http-user -crypto ALL -ptype KRB5_NT_PRINCIPAL -mapop set -pass password -out D:\krb5.keytab
После копирования Keytab на сервер CentOS под /etc/httpd/conf/krb5.keytab
я следующий виртуальный хост настроен.
<VirtualHost *:80>
ServerName server.shc.local
DocumentRoot /var/www/html/test
LogLevel debug
ErrorLog /var/log/httpd/test-error.log
CustomLog /var/log/httpd/test-custom.log combined
<Location />
Options Indexes
AuthType Kerberos
KrbServiceName "HTTP/[email protected]"
AuthName "Welcome to the KRB5 Test"
KrbMethodNegotiate on
KrbMethodK5Passwd off
KrbVerifyKDC off
KrbAuthRealms SHC.LOCAL
Krb5KeyTab /etc/httpd/conf/krb5.keytab
require valid-user
</Location>
</VirtualHost>
Когда я получить доступ к сайту с помощью Internet Explorer я получаю Внутренняя ошибка сервера 500, а журнал выглядит следующим образом:
[Mon Jun 27 19:14:07.552584 2016] [authz_core:debug] [pid 2832] mod_authz_core.c(809): [client 192.168.214.202:21545] AH01626: authorization result of Require valid-user : denied (no authenticated user yet)
[Mon Jun 27 19:14:07.552637 2016] [authz_core:debug] [pid 2832] mod_authz_core.c(809): [client 192.168.214.202:21545] AH01626: authorization result of <RequireAny>: denied (no authenticated user yet)
[Mon Jun 27 19:14:07.552690 2016] [auth_kerb:debug] [pid 2832] src/mod_auth_kerb.c(1954): [client 192.168.214.202:21545] kerb_authenticate_user entered with user (NULL) and auth_type Kerberos
[Mon Jun 27 19:14:07.552747 2016] [auth_kerb:debug] [pid 2832] src/mod_auth_kerb.c(1295): [client 192.168.214.202:21545] Acquiring creds for HTTP/[email protected]
[Mon Jun 27 19:14:07.555237 2016] [auth_kerb:debug] [pid 2832] src/mod_auth_kerb.c(1155): [client 192.168.214.202:21545] GSS-API major_status:000d0000, minor_status:0000000d
[Mon Jun 27 19:14:07.555250 2016] [auth_kerb:error] [pid 2832] [client 192.168.214.202:21545] gss_acquire_cred() failed: Unspecified GSS failure. Minor code may provide more information (, Permission denied)
А потом, когда я получить доступ к сайту с помощью Firefox я получаю запрос на ввод учетных данных, но затем я успешно прошел проверку подлинности. Бревна выглядеть следующим образом:
[Mon Jun 27 19:16:49.936807 2016] [authz_core:debug] [pid 2828] mod_authz_core.c(809): [client 192.168.214.202:21577] AH01626: authorization result of Require valid-user : denied (no authenticated user yet)
[Mon Jun 27 19:16:49.936849 2016] [authz_core:debug] [pid 2828] mod_authz_core.c(809): [client 192.168.214.202:21577] AH01626: authorization result of <RequireAny>: denied (no authenticated user yet)
[Mon Jun 27 19:16:49.936888 2016] [auth_kerb:debug] [pid 2828] src/mod_auth_kerb.c(1954): [client 192.168.214.202:21577] kerb_authenticate_user entered with user (NULL) and auth_type Kerberos
[Mon Jun 27 19:16:50.042925 2016] [authz_core:debug] [pid 2829] mod_authz_core.c(809): [client 192.168.214.202:21578] AH01626: authorization result of Require valid-user : denied (no authenticated user yet)
[Mon Jun 27 19:16:50.042960 2016] [authz_core:debug] [pid 2829] mod_authz_core.c(809): [client 192.168.214.202:21578] AH01626: authorization result of <RequireAny>: denied (no authenticated user yet)
[Mon Jun 27 19:16:50.042982 2016] [auth_kerb:debug] [pid 2829] src/mod_auth_kerb.c(1954): [client 192.168.214.202:21578] kerb_authenticate_user entered with user (NULL) and auth_type Kerberos
Кто-нибудь есть идея, что мне нужно сделать, чтобы получить бесшовную SSO работает при доступе к сайту через Internet Explorer.
Hi. Вы действительно попробовали winbind (часть самбы), может быть намного проще настроить и работать, особенно если у вас есть доступ к среде AD. Какая установка Windows? вам также необходимо убедиться, что часы обеих машин синхронизированы или krb auth даст вам проблемы. – user3788685