1. Inicio
  2. Pregunta y respuesta
  3. Kerberos falla al acceder al sitio por la dirección IP

Kerberos falla al acceder al sitio por la dirección IP

2012-09-04 24 views
5

Aparecen problemas al acceder al sitio protegido de Kerberos por la dirección IP. Por ejemplo:Kerberos falla al acceder al sitio por la dirección IP

http:/10.10.1.x:3001/ da error.

http:/my-host:3001/ sso se ha completado con éxito.

registros

de error de Apache dicen:

src/mod_auth_kerb.c (1261): [cliente 10.10.1.X] La adquisición de creds de [email protected] [10.10.1.X cliente ] gss_acquire_cred() falló: Error no especificado de GSS. código secundario puede proporcionar más información (Clave entrada tabla no encontrada)

src/mod_auth_kerb.c (1261): [10.10.1.X cliente de adquisición de creds de HTTP @ mi-host [depuración] src/mod_auth_kerb. c (1407): [10.10.1.X cliente] Verificación de datos de cliente utilizando KRB5 GSS-API [debug] src/mod_auth_kerb.c (1423): [10.10.1.X cliente] Verificación volvió código 0

Como se puede ver Kerberos intenta encontrar [email protected] o [email protected] principales. Para ambos directores crearon cuentas ficticias en ActiveDirectory. En el archivo keytab también se incluyen los dos:

KVNO Timestamp   Principal 
---- ----------------- ----------------------------------------------------- 
    5 01/01/70 03:00:00 HTTP/[email protected]_DOMAIN.LAN (ArcFour with HMAC/md5) 

    11 09/04/12 12:03:01 HTTP/[email protected]_DOMAIN.LAN (ArcFour with HMAC/md5)

Kinit funciona para ambos.

de configuración de Kerberos en el servidor:

Krb5Keytab /etc/krb5.keytab 
    AuthType Kerberos 
    KrbMethodNegotiate On 
    AuthName "Kerberos Login" 
    KrbAuthRealms MY_DOMAIN.LAN 
    KrbVerifyKDC Off 
    KrbMethodK5Passwd On 
    Require valid-user

Alguien podía adivinar dónde está el problema? ¿Es posible usar la dirección IP en Kerberos SSO?

Fuente

2012-09-04 Maksim Sirotkin

Respuesta

9

Kerberos no funciona con direcciones IP, solo se basa en nombres de dominio y entradas DNS correctas.

Fuente

2012-09-05 10:00:10

+0

Es bastante impactante para mí y extraño que en todos los artículos sobre Kerberos que nunca fue mencionado. ¿Podría nombrar otra forma de autenticación SSO que admita direcciones IP? –

+0

No lo creo. Lea [this] (http://support.microsoft.com/kb/322979/en-us?fr=1) y [este] (http://www.cmf.nrl.navy.mil/krb/kerberos -faq.html # kerbdns). Bueno, el nombre 'SPN' implica que opera con * nombres * y no con direcciones IP. No hay alternativa a Kerberos en un entorno corporativo. Todo lo demás no es SSO. ¿Por qué no quieres usar el nombre de host? Todo el Directorio Activo trata de DNS, nombres de host y Kerberos. Usó DNS para descubrir DC y KDC y muchos más servicios. –

+0

Gracias, su respuesta fue realmente útil. Nuestros socios usan enlaces de direcciones IP, será difícil hacer que usen DNS. –

1

En un artículo de Microsoft KB que dice que es por diseño:

https://support.microsoft.com/en-ca/kb/322979

El título de la KB anterior es: Kerberos no se utiliza cuando se conecta a través de SMB compartido utilizando la dirección IP

Fuente

2016-07-08 21:59:05 Jim

Cuestiones relacionadas

 Cuestiones relacionadas