Kerberos schlägt fehl, wenn über die IP-Adresse auf die Site zugegriffen wird
Beim Zugriff auf eine durch Kerberos geschützte Site über die IP-Adresse treten Probleme auf. Zum Beispiel:
http:/10.10.1.x:3001/
scheitert.
http:/my-host:3001/
sso wird erfolgreich abgeschlossen.
Apache-Fehlerprotokolle sagen:
src / mod_auth_kerb.c (1261): [client 10.10.1.x] creds für [email protected] abrufen [client 10.10.1.x] gss_acquire_cred () fehlgeschlagen: Nicht angegebener GSS-Fehler. Untergeordneter Code enthält möglicherweise weitere Informationen (Eintrag in der Schlüsseltabelle nicht gefunden)
src / mod_auth_kerb.c (1261): [client 10.10.1.x creds für HTTP @ my-host abrufen [debug] src / mod_auth_kerb.c (1407): [client 10.10.1.x] Clientdaten mit KRB5 GSS überprüfen -API [debug] src / mod_auth_kerb.c (1423): [client 10.10.1.x] Überprüfungsrückgabecode 0
Wie Sie sehen konnten, versucht Kerberos zu finden[email protected]
oderHTTP@my-host
Auftraggeber. Für beide Principals wurden in ActiveDirectory Dummy-Konten erstellt. In der Keytab-Datei waren auch beide enthalten:
KVNO Timestamp Principal
---- ----------------- -----------------------------------------------------
5 01/01/70 03:00:00 HTTP/10.10.1.x@MY_DOMAIN.LAN (ArcFour with HMAC/md5)
11 09/04/12 12:03:01 HTTP/my-host@MY_DOMAIN.LAN (ArcFour with HMAC/md5)
Kinit funktioniert für beide.
Kerberos-Konfiguration auf dem Server:
Krb5Keytab /etc/krb5.keytab
AuthType Kerberos
KrbMethodNegotiate On
AuthName "Kerberos Login"
KrbAuthRealms MY_DOMAIN.LAN
KrbVerifyKDC Off
KrbMethodK5Passwd On
Require valid-user
Kann jemand raten, wo das Problem liegt? Ist es möglich, eine IP-Adresse in Kerberos SSO zu verwenden?