Problemy pojawiają się podczas uzyskiwania dostępu do chronionej witryny Kerberos według adresu IP. Na przykład:

http:/10.10.1.x:3001/ daje porażkę.

http:/my-host:3001/ sso jest zakończone pomyślnie.

Dzienniki błędów Apache mówią:

src / mod_auth_kerb.c (1261): [klient 10.10.1.x] Zdobywanie kredytów dla [email protected] [klient 10.10.1.x] gss_acquire_cred () nie powiodło się: Nieokreślony błąd GSS. Kod mniejszy może dostarczyć więcej informacji (nie znaleziono wpisu w tabeli kluczy)

src / mod_auth_kerb.c (1261): [klient 10.10.1.x Uzyskiwanie kredytów dla HTTP @ mój-host [debug] src / mod_auth_kerb.c (1407): [klient 10.10.1.x] Sprawdzanie danych klienta za pomocą KRB5 GSS -API [debug] src / mod_auth_kerb.c (1423): [klient 10.10.1.x] Weryfikacja zwróciła kod 0

Jak widać Kerberos próbuje znaleźć[email protected] lubHTTP@my-host zleceniodawcy. Dla obu podmiotów utworzono fałszywe konta w ActiveDirectory. W pliku keytab uwzględniono również oba z nich:

KVNO Timestamp         Principal
---- ----------------- -----------------------------------------------------
   5 01/01/70 03:00:00 HTTP/10.10.1.x@MY_DOMAIN.LAN (ArcFour with HMAC/md5)

  11 09/04/12 12:03:01 HTTP/my-host@MY_DOMAIN.LAN (ArcFour with HMAC/md5)

Kinit działa dla obu.

Konfiguracja Kerberos na serwerze:

   Krb5Keytab /etc/krb5.keytab
   AuthType Kerberos
   KrbMethodNegotiate On
   AuthName "Kerberos Login"
   KrbAuthRealms MY_DOMAIN.LAN
   KrbVerifyKDC Off
   KrbMethodK5Passwd On
   Require valid-user

Ktoś mógłby zgadnąć, gdzie jest problem? Czy możliwe jest użycie adresu IP w SSO Kerberos?