os tíquetes de autenticação do apache kerberos não são visíveis na lista de klists

2

quando eu configurei a autenticação do apache usando o kerberos. está funcionando bem. Está pedindo a senha e entrando no site. e está criando uma informação de log como esta. /var/log/kerberos/krb5kdc.log

Jul 03 15:30:03 ashokkrishna-Lenovo-B560 krb5kdc[4060](info): AS_REQ (6 etypes {18 17 16 23 25 26}) 192.168.1.224: NEEDED_PREAUTH: [email protected] for krbtgt/[email protected], Additional pre-authentication required
Jul 03 15:30:03 ashokkrishna-Lenovo-B560 krb5kdc[4060](info): AS_REQ (6 etypes {18 17 16 23 25 26}) 192.168.1.224: ISSUE: authtime 1435917603, etypes {rep=18 tkt=18 ses=18}, [email protected] for krbtgt/[email protected]

mas quando eu acertei

ashokkrishna@ashokkrishna-Lenovo-B560:~$ klist
klist: No credentials cache found (ticket cache FILE:/tmp/krb5cc_1000)

Não está listando nenhum ticket obtido. porque? Toda vez que eu abro o Firefox, o site está pedindo a senha e o nome de usuário novamente, embora o tempo de expiração do meu ticket seja longo o suficiente.

mas quando adiciono os usuários usando

ashokkrishna@ashokkrishna-Lenovo-B560:~$ kinit ashokkrishna
Password for [email protected]: 

ashokkrishna@ashokkrishna-Lenovo-B560:~$ klist
Ticket cache: FILE:/tmp/krb5cc_1000
Default principal: [email protected]

Valid starting       Expires              Service principal
2015-07-03T15:56:33  2015-07-04T01:56:33  krbtgt/[email protected]
    renew until 2015-07-04T15:56:30
2015-07-03T15:56:44  2015-07-04T01:56:33  HTTP/[email protected]
    renew until 2015-07-04T15:56:30

está funcionando bem.

porque isso está acontecendo.

EDITAR: / etc / apache2 / sites-enabled / sites-enabled. **

<Directory /var/www/html/auth-kerberos>
    AuthType Kerberos
    AuthName "Kerberos Authntication"
    KrbAuthRealms IGROUP.COM
    Krb5Keytab /etc/krb5.keytab
    KrbMethodNegotiate On
    KrbSaveCredentials Off
    KrbVerifyKDC Off
    Require valid-user
</Directory>**

Configuração kadmin.local.

kadmin.local: listprincs
HTTP/[email protected]
K/[email protected]
ashokkrishna/[email protected]
[email protected]
host/[email protected]
kadmin/[email protected]
kadmin/[email protected]
kadmin/[email protected]
krbtgt/[email protected]
root/[email protected]

ashokkrishna é o usuário (cliente) .E uma coisa eu estou tendo kdc, admin-server, apache-server, cliente todos estão sob único host (pc). Eu estou testando em um único sistema.

    
por ashok 03.07.2015 / 12:32

2 respostas

2

Quando KrbMethodNegotiate falha porque você não tem um ticket válido (no seu caso qualquer), o Apache falha de volta para KrbMethodK5Passwd , que está ativado por padrão. Esse é o comportamento esperado com sua configuração.

Notas laterais

  1. O Apache não deveria estar usando o keytab do sistema. Configure um keytab de aplicativo para ele.
  2. If you are using the Basic Auth mechanism, the module does not do any special encryption of any sort. The passing of the username and password is done with the same Base64 encoding that Basic Auth uses. This can easily be converted to plain text. To counter this, I would suggest also using mod_ssl or Apache-SSL. The use of SSL encryption is also recommended if you are using the Negotiate method.

por 03.07.2015 / 17:34
3

[Kerberos authentication] is working fine. It is asking the password and logging into the website.

Seu servidor Apache provavelmente está configurado para permitir alguma forma de autenticação de fall-back quando nenhuma autenticação Kerberos puder ser negociada.
Porque, se o seu navegador apresentasse um tíquete do Kerberos, você não teria solicitado um nome de usuário e senha.

Para mim, isso é confirmado pelo fato de você não ver nem o seu ingresso de concessão de bilhete pessoal, nem um ticket de serviço.

Quando você obtiver manualmente um tíquete de concessão de ticket com kinit , somente o Firefox poderá negociar a autenticação Kerberos com o servidor da Web e, em seguida, o tíquete de serviço será usado para efetuar login, em vez do nome de usuário / senha. Qual é o show quando você executa klist pela segunda vez.

    
por 03.07.2015 / 15:24