PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : sso Apache kerberos SBS2011



Tocotac
30.04.13, 17:07
Hallo liebe Gemeinde,

ich versuche gerade ein single-sign-on mit dem Apache zu realisieren.
ich habe mich an dieses (https://blog.netways.de/2011/10/27/sso-bei-apache-mit-gruppenbezogener-authentifizierung-gegen-ein-active-directory/) Tutorial gehalten.
Folgendes habe ich bisher gemacht:


Benutzer www in der Windows AD angelegt.
SPN dem Benutzer www hinzufügen
ktpass -out apache2.keytab -mapuser www@DOMAIN.LOCAL -princ HTTP/www.domain.local@DOMAIN.LOCAL -pass password -ptype KRB5_NT_PRINCIPAL -crypto RC4-HMAC-NT
die erzeugte apache2.keytab auf nach /etc/apache2/ kopiert
apache2.keytab kontrolliert
~# kinit -t /etc/apache2/apache2.keytab HTTP/www.domain.local
Password for HTTP/www.domain.local@DOMAIN.LOCAL:
~#
~# klist -t -k /etc/apache2/apache2.keytab
Keytab name: FILE:/etc/apache2/apache2.keytab
KVNO Timestamp Principal
---- ---------------- ---------------------------------------------------------
3 01/01/1970 01:00 HTTP/www.domain.local@DOMAIN.LOCAL
was hier auffällt ist er Zeitstempel...
Konfiguration des apache angepasst
AuthType Kerberos
AuthName "Kerberos Login"
KrbAuthRealm DOMAIN.LOCAL
KrbServiceName HTTP
Krb5Keytab /etc/apache2/apache2.keytab
KrbMethodK5Passwd on
require valid-user
apache neugestarted
service apache2 restart


beim Aufrufen des Webserver werden Benutzername und Passwort abgefragt und mit einem 401 Authorization Required vom Apache quittiert.
im errorlog findet sich folgende Fehlermeldung:

[Tue Apr 30 16:56:01 2013] [error] [client 192.168.2.19] gss_accept_sec_context() failed: No credentials were supplied, or the credentials were unavailable or inaccessible (, Unknown error)

Kann mir jemand diesbezüglich weiterhelfen?

anbei noch

die /etc/krb5.conf
~# cat /etc/krb5.conf
[logging]
default = SYSLOG:DEBUG

[libdefaults]
default_realm = DOMAIN.LOCAL
kdc_timesync = 1
ccache_type = 4
forwardable = true
proxiable = true

[realms]
DOMAIN.LOCAL = {
kdc = SRV01.DOMAIN.LOCAL
default_domain = DOMAIN.LOCAL
}

[domain_realm]
.domain.local = DOMAIN.LOCAL
domain.local = DOMAIN.LOCAL
weitere Info
Windows Server: SBS2011, FQDN: srv01.domain.local, Domain: domain.local
Linux Server: Ubuntu 12.04.2 LTS, FQDN: www.domain.local, Apache 2.2.22
der Linuxserver befindet sich bereits in der AD und auch die Authentifizierung (ssh) findet bereits über Kerberos statt



Vielen Dank