web-dev-qa-db-ja.com

Apache mod_auth_kerb:「キーテーブルエントリが見つかりません」

Apacheモジュールを使いたいmod_auth_kerbWebアプリケーションのSSOを実装します。次の設定で:

<VirtualHost 10.5.3.200:443>

#Proxy
<Proxy *>
Order deny,allow
Allow from all
</Proxy>
ProxyPass /elasticsearch/ http://127.0.0.1:9200/
ProxyPassReverse /elasticsearch/ http://127.0.0.1:9200/

#Server Config
ServerName spufi002.ads.ktag.ch
ServerAdmin "[email protected]"
DocumentRoot /srv/www/htdocs/kibana/
ErrorLog /var/log/Apache2/error_log
TransferLog /var/log/Apache2/access_log
SSLEngine on
SSLProtocol all -SSLv2 -SSLv3
SSLCipherSuite ALL:!aNULL:!eNULL:!SSLv2:!LOW:!EXP:!MD5:@STRENGTH
SSLCertificateFile /etc/Apache2/ssl.crt/server.crt
SSLCertificateKeyFile /etc/Apache2/ssl.key/server.key
<Files ~ "\.(cgi|shtml|phtml|php3?)$">
SSLOptions +StdEnvVars
</Files>
<Directory "/srv/www/cgi-bin">
SSLOptions +StdEnvVars
</Directory>
CustomLog /var/log/Apache2/ssl_request_log   ssl_combined
<Directory "/srv/www/htdocs/kibana">

#Authentication
AuthType Kerberos
AuthName "SPNEGO"
KrbAuthRealms ADS.KTAG.CH
Krb5Keytab /etc/krb5.keytab
KrbMethodNegotiate on
KrbServiceName http
KrbMethodK5Passwd on
KrbLocalUserMapping On
Require user abnn ABNN tloi TLOI pwix PWIX rhe6 RHE6 dwav DWAV
options Indexes FollowSymLinks
AllowOverride None
Order allow,deny
Allow from all
</Directory>
</VirtualHost>

Kerberosスタッフがなくても、Webサイトにアクセスできます。 Kerberosの部分では、ログインボックスがポップアップしますが、ログインできません。

次のエラーが発生します(Apache2.2 error_log):

[Tue Mar 18 13:58:34 2014] [error] [client 10.5.4.12] failed to verify krb5 credentials: Key table entry not found, referer: https://spufi002/

何か案は?

3
user2927980

問題はKrbServiceNameにあると思います。 keytabファイルを生成するときは、プリンシパルの名前を同じように使用する必要があります。 ktpass /princ HTTP/[email protected]...HTTP/[email protected]-使用する必要があるプリンシパルの名前。

1
user64884