ich versuche gerade meinen Apache Server die Kerberos Authenfikation beizubringen aber irgendwie will er nicht so ganz wie ich.
Ich bekomme immer folgende Fehlermeldung:
- Code: Select all
gss_acquire_cred() failed: Unspecified GSS failure. Minor code may provide more information (No principal in keytab matches desired name)
Ich bin folgendermaße vorgegangen:
- In der AD habe ich einen User Names aSSO angelegt
- Dann habe ich eine Keyfile mit folgenden Befehl erstellt:
- Code: Select all
"c:\Program Files\Support Tools\ktpass" -princ HTTP/apache_server.mein.lan@MEIN.LAN -crypto DES-CBC-MD5 -ptype KRB5_NT_PRINCIPAL -mapuser aSSO -mapop set +desonly -pass test -out c:\temp\aSSO.keytab
- Die Keyfile auf den Apache Server kopiert und die Berechtigung für die Datei vergeben
- beim Apache Server den Kerberosmod aktiviert
- Code: Select all
a2enmod auth_kerberos
- die /etc/krb5.conf folgendermaßen angepasst
- Code: Select all
[libdefaults]
default_realm = MEIN.LAN
[realms]
MEIN.LAN = {
admin_server = dc.mein.lan
kdc = dc.mein.lan
}
[domain_realm]
apache_server.mein.lan = MEIN.LAN
- folgenden vhost Eintrag verfasst
- Code: Select all
<Directory "/var/www/sso">
Allow from all
AuthName "Kerberos"
AuthType Kerberos
KrbAuthRealms MEIN.LAN
KrbServiceName HTTP
Krb5Keytab /share/aSSO.keytab
KrbMethodNegotiate on
KrbMethodK5Passwd off
Require valid-user
</Directory>
Sieht jemand den Fehler?
Was vielleicht auch intressant ist:
Wenn ich mich mit meinen user kinit und klist ausführe:
- Code: Select all
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: meinuser@MEIN.LAN
Valid starting Expires Service principal
04/20/09 10:03:10 04/20/09 20:05:19 krbtgt/MEIN.LAN@MEIN.LAN
renew until 04/21/09 10:03:10
Kerberos 4 ticket cache: /tmp/tkt0
klist: You have no tickets cached
- wenn ich "kinit -k -t /share/aSSO.keytab HTTP/apache_server.mein.lan" und klist ausführe
- Code: Select all
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: HTTP/apache_server.mein.lan@MEIN.LAN
Valid starting Expires Service principal
04/20/09 10:06:03 04/20/09 20:08:09 krbtgt/MEIN.LAN@MEIN.LAN
renew until 04/21/09 10:06:03
Kerberos 4 ticket cache: /tmp/tkt0
klist: You have no tickets cached