Сбой Kerberos при доступе к сайту по IP-адресу
Проблемы возникают при доступе к защищенному Kerberos сайту по IP-адресу. Например:
http:/10.10.1.x:3001/
дает сбой.
http:/my-host:3001/
ССО завершается успешно.
Журналы ошибок Apache говорят:
src/mod_auth_kerb.c(1261): [client 10.10.1.x] Acquiring creds for [email protected] [client 10.10.1.x] gss_acquire_cred() failed: Unspecified GSS failure. Minor code may provide more information (Key table entry not found)
src/mod_auth_kerb.c(1261): [client 10.10.1.x Acquiring creds for HTTP@my-host [debug] src/mod_auth_kerb.c(1407): [client 10.10.1.x] Verifying client data using KRB5 GSS-API [debug] src/mod_auth_kerb.c(1423): [client 10.10.1.x] Verification returned code 0
Как вы могли видеть, Kerberos пытается найти[email protected]
или жеHTTP@my-host
директора школы. Для обоих участников созданы фиктивные учетные записи в ActiveDirectory. В файл keytab также включены оба из них:
KVNO Timestamp Principal
---- ----------------- -----------------------------------------------------
5 01/01/70 03:00:00 HTTP/10.10.1.x@MY_DOMAIN.LAN (ArcFour with HMAC/md5)
11 09/04/12 12:03:01 HTTP/my-host@MY_DOMAIN.LAN (ArcFour with HMAC/md5)
Кинит работает для них обоих.
Конфигурация Kerberos на сервере:
Krb5Keytab /etc/krb5.keytab
AuthType Kerberos
KrbMethodNegotiate On
AuthName "Kerberos Login"
KrbAuthRealms MY_DOMAIN.LAN
KrbVerifyKDC Off
KrbMethodK5Passwd On
Require valid-user
Кто-то может догадаться, где проблема? Можно ли использовать IP-адрес в Kerberos SSO?