Score:0

Kerberos กับ Apache ไม่ทำงาน

ธง jp

ขณะนี้ฉันกำลังพยายามกำหนดค่า Kerberos บน Apache ของเรา และน่าเสียดายที่ฉันไม่สามารถดำเนินการต่อไปได้ เว็บไซต์ (Typo3) บน apache เข้าถึงได้ทั้งภายในและภายนอกด้วย sub.domain.com โดเมนท้องถิ่นคือ inter.local

ฉันสร้างไฟล์ keytab ดังนี้:

ktpass -princ HTTP/[email protected] -mapuser [email protected] -pass P@55w0rd -crypto ALL -ptype KRB5_NT_PRINCIPAL -out C:\temp\kerbkey.keytab

ไฟล์ krb5.conf มีลักษณะดังนี้:

[libdefaults]
        default_realm = INTERN.LOCAL

        kdc_timesync = 1
        ccache_type = 4
        ส่งต่อได้ = จริง
        ใกล้เคียง = จริง

[อาณาจักร]
        INTERN.LOCAL = {
                kdc = dc01.intern.local
                admin_server = dc01.intern.local
                default_domain = intern.local
        }

[domain_realm]
        .sub.domain.com = INTERN.LOCAL
        sub.domain.com = INTERN.LOCAL
        intern.local = อินเตอร์เนท.โลคอล
        .intern.local = ฝึกงานท้องถิ่น

Apache vhost มีลักษณะดังนี้:

<VirtualHost *:443>
    ServerName sub.domain.com
    ServerAdmin [email protected]
    DocumentRoot /var/www/page

    <Directory /var/www/page>
     AllowOverride All
    </Directory>

    SSLEngine on
    SSLCertificateFile /etc/apache2/ssl/wildcart-zert.crt
    SSLCertificateKeyFile /etc/apache2/ssl/wildcart-key.key

<IfModule !mod_auth_gssapi.c>
    LoadModule auth_kerb_module /usr/lib/apache2/modules/mod_auth_gssapi.so
</IfModule>

LimitRequestFieldSize 32768
  <Location "/">
 AuthName [email protected]
 AuthType GSSAPI
 GssapiBasicAuth On
 GssapiCredStore keytab:/etc/apache2/krb5/kerbkey.keytab
 Require valid-user
  </Location>

    ErrorLog ${APACHE_LOG_DIR}/page-ssl_error.log
    CustomLog ${APACHE_LOG_DIR}/page-ssl_access.log combined
</VirtualHost>

ปัญหาตอนนี้คือ ถ้าฉันเปิดใช้งาน vhost config แบบนี้ เมื่อฉันเรียกเพจขึ้นมา https://sub.domain.comฉันมักจะได้รับป๊อปอัปของเบราว์เซอร์เพื่อป้อนชื่อผู้ใช้และรหัสผ่าน และไม่ว่าฉันจะพิมพ์อะไรที่นี่ ฉันก็เข้าหน้าเว็บไม่ได้และเพิ่งได้รับข้อผิดพลาด:

ไม่ได้รับอนุญาต
เซิร์ฟเวอร์นี้ไม่สามารถยืนยันได้ว่าคุณได้รับอนุญาตให้เข้าถึงเอกสารที่ร้องขอ ไม่ว่าคุณจะให้ข้อมูลประจำตัวที่ไม่ถูกต้อง (เช่น รหัสผ่านไม่ถูกต้อง) หรือเบราว์เซอร์ของคุณไม่เข้าใจวิธีการระบุข้อมูลประจำตัวที่จำเป็น

เซิร์ฟเวอร์ Apache/2.4.41 (Ubuntu) ที่ sub.domain.com พอร์ต 443

บันทึกข้อผิดพลาด apache แสดงรายการนี้:

[auth_gssapi:error] [pid 1632875] [client x.x.x.x:65394] GSS ERROR ในการเจรจา Auth: gss_accept_sec_context() ล้มเหลว: [มีการร้องขอกลไกที่ไม่รองรับ (ข้อผิดพลาดที่ไม่รู้จัก)]
horst avatar
jp flag
ฉันยังคงยุ่งกับปัญหานี้ บนเซิร์ฟเวอร์ทดสอบ การกำหนดค่าเดียวกันนี้ใช้งานได้โดยไม่มีปัญหาใดๆ ข้อแตกต่างเพียงอย่างเดียวคือบนเซิร์ฟเวอร์ทดสอบ ฉันเรียกโดเมนด้วย sub.internal.local และบนเซิร์ฟเวอร์ที่ใช้งานจริง ฉันเปิดเพจด้วย sub.external.com ในเบราว์เซอร์... สิ่งนี้ทำให้ฉันคลั่งไคล้!
Score:0
ธง jp

บันทึกข้อผิดพลาด apache แสดงรายการนี้:

ข้อมูลรับรองการเข้าสู่ระบบไม่ถูกต้อง:

[auth_gssapi:error] [pid 945597] [client x.x.x.x:60415] GSS ERROR ใน Basic Auth: gss_acquire_cred_with_password() ล้มเหลว: [ไม่ระบุ GSS ล้มเหลว รหัสย่อยอาจให้ข้อมูลเพิ่มเติม (การตรวจสอบสิทธิ์ล่วงหน้าล้มเหลว)]

ข้อมูลรับรองการเข้าสู่ระบบที่ถูกต้อง:

[auth_gssapi:error] [pid 945593] [client x.x.x.x:63197] GSS ERROR gss_init_sec_context(): [GSS ที่ไม่ได้ระบุล้มเหลว รหัสย่อยอาจให้ข้อมูลเพิ่มเติม (ไม่พบเซิร์ฟเวอร์ในฐานข้อมูล Kerberos)]

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา