Сбой Kerberos при доступе к сайту по IP-адресу
Проблемы возникают при доступе к защищенному Kerberos сайту по IP-адресу. Например:
http:/10.10.1.x:3001/ дает сбой.
http:/my-host:3001/ ССО завершается успешно.
Журналы ошибок Apache говорят:
src / mod_auth_kerb.c (1261): [клиент 10.10.1.x] Получение кредитов для [email protected] [клиент 10.10.1.x] gss_acquire_cred () завершился неудачно: сбой GSS не указан. Младший код может предоставить больше информации (запись таблицы ключей не найдена)
src / mod_auth_kerb.c (1261): [клиент 10.10.1.x Получение кредитов для HTTP @ my-host [debug] src / mod_auth_kerb.c (1407): [клиент 10.10.1.x] Проверка данных клиента с использованием KRB5 GSS -API [debug] src / mod_auth_kerb.c (1423): [клиент 10.10.1.x] Проверка вернула код 0
Как вы могли видеть, Kerberos пытается найти[email protected] или жеHTTP@my-host директора школы. Для обоих участников созданы фиктивные учетные записи в ActiveDirectory. В файл keytab также включены оба из них:
KVNO Timestamp Principal
---- ----------------- -----------------------------------------------------
5 01/01/70 03:00:00 HTTP/10.10.1.x@MY_DOMAIN.LAN (ArcFour with HMAC/md5)
11 09/04/12 12:03:01 HTTP/my-host@MY_DOMAIN.LAN (ArcFour with HMAC/md5)
Кинит работает для них обоих.
Конфигурация Kerberos на сервере:
Krb5Keytab /etc/krb5.keytab
AuthType Kerberos
KrbMethodNegotiate On
AuthName "Kerberos Login"
KrbAuthRealms MY_DOMAIN.LAN
KrbVerifyKDC Off
KrbMethodK5Passwd On
Require valid-user
Кто-то может догадаться, где проблема? Можно ли использовать IP-адрес в Kerberos SSO?