mod_auth_kerb arquivo keytab para um FQDN diferente

1


Eu tenho um domínio do Active Directory que se assemelha a 'AD.EXAMPLE.COM'.
Eu instalei um servidor Apache que tem um FQDN ligeiramente diferente
do meu nome de domínio do AD: 'apache.example.com' (sem o AD).

Estou tentando configurar uma autenticação de passagem do Kerberos para o servidor Apache por meio de mod_auth_kerb e, ao gerar o keytab, usei o seguinte SPN:

HTTP/[email protected]

Como o formulário deve ser (de acordo com a documentação): HTTP / FQDN @ REALM

A parte http.conf relevante do arquivo de configuração é a seguinte:

<Location "/secure">
   AuthType Kerberos
   AuthName "Kerberos Login"
   KrbMethodNegotiate On
   KrbMethodK5Passwd On
   KrbAuthRealms AD.EXAMPLE.COM
   KrbLocalUserMapping On
   KrbServiceName HTTP
   Krb5KeyTab /etc/httpd/conf.d/apache.keytab
   require valid-user
</Location>

Quando tento acessar o servidor Apache de dentro do domínio, recebo um aviso Para inserir minha senha, a autenticação de passagem não está funcionando.
O que estou perdendo?

Obrigado antecipadamente.

    
por nadavr 04.03.2017 / 13:50

1 resposta

0

Você provavelmente desejará definir KrbMethodK5Passwd para off . Fonte: link

KrbMethodK5Passwd on | off

(set to on by default)

To enable or disable the use of password based authentication for Kerberos v5.
    
por 05.03.2017 / 01:54