CentOS 7 Apache HTTPD Kerberos Проблемы с Windows AD

Question

Я действительно собираюсь потерять сознание с этой проблемой, поэтому надеюсь, что вы сможете мне помочь. У меня много часов в Интернете, но я просто не могу получить правильную конфигурацию.

Я устанавливаю Apache на CentOS 7 с аутентификацией Kerberos, чтобы я мог достичь единого входа в среде Windows AD. По моему мнению, это возможно, и я должен иметь возможность достичь истинного SSO при доступе через Internet Explorer. В настоящее время у меня есть следующая конфигурация, которая генерирует 500 Internal Server Error при доступе к сайту через Internet Explorer, но странно работает при использовании Firefox (хотя я должен вводить учетные данные в подсказку).

Сначала я создал Принципа обслуживания и экспортировал keytab в Windows, используя следующую команду.

ktpass -princ HTTP/server.example.local@EXAMPLE.LOCAL -mapuser EXAMPLE\http-user -crypto ALL -ptype KRB5_NT_PRINCIPAL -mapop set -pass password -out D:\krb5.keytab 

После копирования Keytab на сервер CentOS под /etc/httpd/conf/krb5.keytab я следующий виртуальный хост настроен.

<VirtualHost *:80> 
    ServerName server.shc.local 
    DocumentRoot /var/www/html/test 

    LogLevel debug 
    ErrorLog /var/log/httpd/test-error.log 
    CustomLog /var/log/httpd/test-custom.log combined 

<Location /> 
    Options Indexes 
    AuthType Kerberos 
    KrbServiceName "HTTP/server.example.local@EXAMPLE.LOCAL" 
    AuthName "Welcome to the KRB5 Test" 
    KrbMethodNegotiate on 
    KrbMethodK5Passwd off 
    KrbVerifyKDC off 
    KrbAuthRealms SHC.LOCAL 
    Krb5KeyTab /etc/httpd/conf/krb5.keytab 
    require valid-user 
</Location> 

</VirtualHost> 

Когда я получить доступ к сайту с помощью Internet Explorer я получаю Внутренняя ошибка сервера 500, а журнал выглядит следующим образом:

[Mon Jun 27 19:14:07.552584 2016] [authz_core:debug] [pid 2832] mod_authz_core.c(809): [client 192.168.214.202:21545] AH01626: authorization result of Require valid-user : denied (no authenticated user yet) 
[Mon Jun 27 19:14:07.552637 2016] [authz_core:debug] [pid 2832] mod_authz_core.c(809): [client 192.168.214.202:21545] AH01626: authorization result of <RequireAny>: denied (no authenticated user yet) 
[Mon Jun 27 19:14:07.552690 2016] [auth_kerb:debug] [pid 2832] src/mod_auth_kerb.c(1954): [client 192.168.214.202:21545] kerb_authenticate_user entered with user (NULL) and auth_type Kerberos 
[Mon Jun 27 19:14:07.552747 2016] [auth_kerb:debug] [pid 2832] src/mod_auth_kerb.c(1295): [client 192.168.214.202:21545] Acquiring creds for HTTP/server.example.local@EXAMPLE.LOCAL 
[Mon Jun 27 19:14:07.555237 2016] [auth_kerb:debug] [pid 2832] src/mod_auth_kerb.c(1155): [client 192.168.214.202:21545] GSS-API major_status:000d0000, minor_status:0000000d 
[Mon Jun 27 19:14:07.555250 2016] [auth_kerb:error] [pid 2832] [client 192.168.214.202:21545] gss_acquire_cred() failed: Unspecified GSS failure. Minor code may provide more information (, Permission denied) 

А потом, когда я получить доступ к сайту с помощью Firefox я получаю запрос на ввод учетных данных, но затем я успешно прошел проверку подлинности. Бревна выглядеть следующим образом:

[Mon Jun 27 19:16:49.936807 2016] [authz_core:debug] [pid 2828] mod_authz_core.c(809): [client 192.168.214.202:21577] AH01626: authorization result of Require valid-user : denied (no authenticated user yet) 
[Mon Jun 27 19:16:49.936849 2016] [authz_core:debug] [pid 2828] mod_authz_core.c(809): [client 192.168.214.202:21577] AH01626: authorization result of <RequireAny>: denied (no authenticated user yet) 
[Mon Jun 27 19:16:49.936888 2016] [auth_kerb:debug] [pid 2828] src/mod_auth_kerb.c(1954): [client 192.168.214.202:21577] kerb_authenticate_user entered with user (NULL) and auth_type Kerberos 
[Mon Jun 27 19:16:50.042925 2016] [authz_core:debug] [pid 2829] mod_authz_core.c(809): [client 192.168.214.202:21578] AH01626: authorization result of Require valid-user : denied (no authenticated user yet) 
[Mon Jun 27 19:16:50.042960 2016] [authz_core:debug] [pid 2829] mod_authz_core.c(809): [client 192.168.214.202:21578] AH01626: authorization result of <RequireAny>: denied (no authenticated user yet) 
[Mon Jun 27 19:16:50.042982 2016] [auth_kerb:debug] [pid 2829] src/mod_auth_kerb.c(1954): [client 192.168.214.202:21578] kerb_authenticate_user entered with user (NULL) and auth_type Kerberos 

Кто-нибудь есть идея, что мне нужно сделать, чтобы получить бесшовную SSO работает при доступе к сайту через Internet Explorer.

Answer 1

ОК, я, наконец, продумал это. Мне пришлось отключить SELinux! Я не могу поверить, что все было так просто, но все, что я делал, это отключить SElinux, перезапустить сервер и начать работу с аутентификацией. Надеюсь, это спасет кого-то еще от головных болей, которые у меня были!