problemas ao criar um arquivo keytab no servidor do win

Question

problemas ao criar um arquivo keytab no servidor do win

#1 resposta do (4 votos)

3

Estou tentando criar um arquivo keytab. vejo um aviso

  WARNING: pType and account type do not match. This might cause  problems.

O comando que eu uso é

  ktpass -princ HTTP/[email protected] -mapuser [email protected] -crypto rc4-hmac-nt -pass **** -ptype KRB5_NT_SRV_HST -out "C:\Documents and Settings\Administrator\bloodhound.kytab"

Eu quero usar isso para o SSO no apache. Estou criando isso no windows server 2003 r2 sp2

saída

Targeting domain controller: fezziwig.uk.domain.com
Using legacy password setting method
Successfully mapped HTTP/bloodhound.domain.com to ldaplookup.
WARNING: pType and account type do not match. This might cause  problems.
Key created.
Output keytab to C:\Documents and Settings\Administrator.UK-GGS-DOMAIN\bloodhound.keytab:
Keytab version: 0x502
keysize 82 HTTP/[email protected] ptype 3 (KRB5_NT_SRV_HST) vno 14 etype 0x17 (RC4-HMAC) keylength 16 (0xde184005d851613980cffb9580bdd193)

Tenho seguido muitos passos que mostram o mesmo que link

Mas nenhum não funciona. quando eu testo com kvno eu recebo seguindo

[root@portal-test conf]# klist -ke bloodhound1.keytab 
Keytab name: FILE:bloodhound1.keytab
KVNO Principal
---- --------------------------------------------------------------------------
  27 HTTP/[email protected] (ArcFour with HMAC/md5) 
[root@portal-test conf]# kvno HTTP/[email protected]
kvno: Server not found in Kerberos database while getting credentials for HTTP/[email protected]

Atualizar

webserver que eu quero acessar usando o link URL

seguinte comando i enetered no padrão r2 do Windows Server 2008

ktpass -princ HTTP/[email protected] -mapuser [email protected] -crypto rc4-hmac-nt -pass password -ptype KRB5_NT_SRV_HST -out "C:\Temp\cobra.kytab" -ptype KRB5_NT_PRINCIPAL

Targeting domain controller: echo.spectrumasa.com
Successfully mapped HTTP/cobra.woking to ldaplookup.
Password succesfully set!
Key created.
Output keytab to C:\Temp\cobra.kytab:
Keytab version: 0x502
keysize 68 HTTP/[email protected] ptype 1 (KRB5_NT_PRINCIPAL) vno 33 etype 0x17 (RC4-HMAC
) keylength 16 (0xde184005d851613980cffb9580bdd193)

copiou o arquivo para o servidor da web. configuração do servidor web atualizada para:

<Directory /opt/html/trac>
        AuthType Kerberos
        AuthName KerberosLogin
        KrbServiceName HTTP/cobra.woking
        KrbMethodNegotiate On
        KrbMethodK5Passwd On
        KrbAuthRealms SPECTRUMASA.COM
        Krb5KeyTab /tmp/cobra.kytab

        AuthLDAPURL ldap://ldapauth.spectrumasa.com/ou=TechSupport,ou=Woking,ou=Sites,dc=spectrumasa,dc=com?userPrincipalName
        AuthLDAPBindDN cn=ldaplookup,cn=Users,dc=spectrumasa,dc=com
        AuthLDAPBindPassword password

        #require valid-user
        Require ldap-group cn=support,cn=Users,dc=spectrumasa,dc=com
        ErrorDocument 401 "<html><meta http-equiv=\"refresh\" content=\"0;url=/intranet/info/unauthorized\"></html>"
</Directory>

keytab testado

klist -ke cobra.kytab 
Keytab name: FILE:cobra.kytab
KVNO Principal
---- --------------------------------------------------------------------------
  33 HTTP/[email protected] (arcfour-hmac) 

kvno HTTP/[email protected]
kvno: Ticket expired while getting credentials for HTTP/[email protected]

Ao acessar a url eu entro no IE, mas no firefox eu recebo o prompt de senha, então funciona.

gss_accept_sec_context() failed: Unspecified GSS failure.  Minor code may provide more information (, ), referer: http://cobra.woking/trac/

Como faço para corrigir isso?

Já tenho um arquivo intranet keytab funcionando para esse servidor

[root@cobra conf]# klist -ke intranet.keytab
Keytab name: FILE:intranet.keytab
KVNO Principal
---- --------------------------------------------------------------------------
   8 HTTP/[email protected] (arcfour-hmac) 
[root@cobra conf]# kvno HTTP/[email protected]
kvno: Ticket expired while getting credentials for HTTP/[email protected]

segunda atualização

Recriei o keytab novamente usando o seguinte

ktpass -princ HTTP/[email protected] -mapuser [email protected] -crypto rc4-hmac-nt -pass password -out "C:\Temp\cobra1.keytab" -ptype KRB5_NT_PRINCIPAL

no meu DNS eu tenho

  cobra         A   172.16.0.216

no apache eu tenho

KrbServiceName HTTP/cobra
Krb5KeyTab /etc/httpd/conf/cobra1.keytab

Quando tento acessar http::/cobra/trac , recebo a senha 3 vezes. o log mostra

no url entrar. 1º prompt de senha exibe SPECTRUM/user

gss_accept_sec_context() failed: Unspecified GSS failure.  Minor code may provide more information (, )

Exibição do segundo prompt de senha COBRA/user e log mostra

gss_accept_sec_context() failed: No credentials were supplied, or the credentials were unavailable or inaccessible (, Unknown error)

3ª senha, tenho que digitar usuário e senha e funciona.

Eu adicionei http://cobra e http://cobra.spectrumasa.com a sites confiáveis.

kerberos single-sign-on windows-server-2008 apache-2.2 gssapi

por shorif2000 22.08.2014 / 13:06

1 resposta

Tags kerberos single-sign-on windows-server-2008 apache-2.2 gssapi

Por que meu certificado curinga auto-assinado não está funcionando? Por que o wusa falha com “O sistema não pode encontrar o arquivo especificado”?

score 4 · Answer 1

O erro que você recebe na saída é porque você não está mapeando o SPN para um principal. Você deve usar um switch ptype de -ptype KRB5_NT_PRINCIPAL para evitar o erro.

KRB5_NT_PRINCIPAL é o tipo principal geral (recomendado) como documentado pela Microsoft .