Kerberos nie działa, gdy uzyskuje dostęp do witryny według adresu IP
Problemy pojawiają się podczas uzyskiwania dostępu do chronionej witryny Kerberos według adresu IP. Na przykład:
http:/10.10.1.x:3001/
daje porażkę.
http:/my-host:3001/
sso jest zakończone pomyślnie.
Dzienniki błędów Apache mówią:
src / mod_auth_kerb.c (1261): [klient 10.10.1.x] Zdobywanie kredytów dla [email protected] [klient 10.10.1.x] gss_acquire_cred () nie powiodło się: Nieokreślony błąd GSS. Kod mniejszy może dostarczyć więcej informacji (nie znaleziono wpisu w tabeli kluczy)
src / mod_auth_kerb.c (1261): [klient 10.10.1.x Uzyskiwanie kredytów dla HTTP @ mój-host [debug] src / mod_auth_kerb.c (1407): [klient 10.10.1.x] Sprawdzanie danych klienta za pomocą KRB5 GSS -API [debug] src / mod_auth_kerb.c (1423): [klient 10.10.1.x] Weryfikacja zwróciła kod 0
Jak widać Kerberos próbuje znaleźć[email protected]
lubHTTP@my-host
zleceniodawcy. Dla obu podmiotów utworzono fałszywe konta w ActiveDirectory. W pliku keytab uwzględniono również oba z nich:
KVNO Timestamp Principal
---- ----------------- -----------------------------------------------------
5 01/01/70 03:00:00 HTTP/10.10.1.x@MY_DOMAIN.LAN (ArcFour with HMAC/md5)
11 09/04/12 12:03:01 HTTP/my-host@MY_DOMAIN.LAN (ArcFour with HMAC/md5)
Kinit działa dla obu.
Konfiguracja Kerberos na serwerze:
Krb5Keytab /etc/krb5.keytab
AuthType Kerberos
KrbMethodNegotiate On
AuthName "Kerberos Login"
KrbAuthRealms MY_DOMAIN.LAN
KrbVerifyKDC Off
KrbMethodK5Passwd On
Require valid-user
Ktoś mógłby zgadnąć, gdzie jest problem? Czy możliwe jest użycie adresu IP w SSO Kerberos?