PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Firefox über Kerberos authentifizieren


Dono
24.01.08, 08:35
Hallo!

Wer hat das schon mal gemacht? Wie geht das? Was muss ich einstellen?
OS ist Windows oder Linux.
hessijens
24.01.08, 09:17
Einen funktionierenden Apache mit mod_auth_kerb (http://modauthkerb.sourceforge.net/) vorausgesetzt muss im Firefox Browser unter "about:config"

network.negotiate-auth.trusted-uris

auf Das Kerberos REALM eingestellt werden. Das reicht zumindest bei mir für den Apache mittels mod_auth_kerb.
Dono
24.01.08, 10:01
Einen funktionierenden Apache? Warum? Unter Windows mit dem IE läuft das ja schon.
Den REALM habe ich gesetzt, leider funktionier es noch nicht.

Wie funktioniert das denn unter Linux?
Mit kinit habe ich mir ein Ticket geholt welches jetzt unter:
/tmp/krb5cc_1100 liegt.

Und dann?
joki
24.01.08, 14:57
Er meinte damit nur dass er gegen einen Apache Server mit mod_auth_krb Kerberos getestet hat. Auf dem Client brauchts natuerliche keine Apache
Dono
25.01.08, 13:41
OK. Damit weiss ich aber leider noch nicht wie das funktionert.
hessijens
28.01.08, 09:13
Leider habe ich keine Ahnung von Windoes Server und IIS. Aber für Firefox mit Kerberos brauchst Du.

1.: Ein Kerberos REALM, dass wenn Du mit kinit ein Ticket bekommst Du bereits eingerichtet hast. P.S.: Normalerweise bekommt man dies bei der Anmeldung mit Windows an einem Windowsserver > 2000 oder mittels pam_krb5 an einem Linuxrechner. Man kann aber auch Windows Clients in einer Linux Kerberos Umgebung anmelden. http://www.wi-bw.tfh-wildau.de/~pboettch/home/sso/node34.html

2.: Einen Webserver der Kerberos Authorisierung unterstutzt. Apache mit mod_auth_kerb (oder IIS?). Für den Apache braucht man ein Kerberos Service Ticket (in der Regel HTTP/mein.server.org@MEINEREALM.ORG), auf welches der Apache mittels einer keytab zugreifen kann. Dies ist auch sehr gut unter http://modauthkerb.sourceforge.net/
beschrieben. Für den IIS habe ich keine Erfahrung, da ich keinen Windowsserver mehr benutze.

3.: Firefox muss dem REALM vertauen, daher der Eintrag network.negotiate-auth.trusted-uris wie unten beschrieben. Wenn ich nun eine kerberosgeschütze Apachseite meines Server anwähle werde ich nicht nach dem Passwörtern gefragt sonder erhalte ein Serviceticket (Befehl: klist) z.B.: HTTP/mein.server.org@MEINREALM.ORG - siehe oben.

Solltest Du den IIS benutzen wollen musst Du leider einen anderen Fragen. Aber ich hoffe es hilft Dir etwas weiter.