Aparecen problemas al acceder al sitio protegido de Kerberos por la dirección IP. Por ejemplo:Kerberos falla al acceder al sitio por la dirección IP
http:/10.10.1.x:3001/
da error.
http:/my-host:3001/
sso se ha completado con éxito.
de error de Apache dicen:
src/mod_auth_kerb.c (1261): [cliente 10.10.1.X] La adquisición de creds de [email protected] [10.10.1.X cliente ] gss_acquire_cred() falló: Error no especificado de GSS. código secundario puede proporcionar más información (Clave entrada tabla no encontrada)
src/mod_auth_kerb.c (1261): [10.10.1.X cliente de adquisición de creds de HTTP @ mi-host [depuración] src/mod_auth_kerb. c (1407): [10.10.1.X cliente] Verificación de datos de cliente utilizando KRB5 GSS-API [debug] src/mod_auth_kerb.c (1423): [10.10.1.X cliente] Verificación volvió código 0
Como se puede ver Kerberos intenta encontrar [email protected]
o [email protected]
principales. Para ambos directores crearon cuentas ficticias en ActiveDirectory. En el archivo keytab también se incluyen los dos:
KVNO Timestamp Principal
---- ----------------- -----------------------------------------------------
5 01/01/70 03:00:00 HTTP/[email protected]_DOMAIN.LAN (ArcFour with HMAC/md5)
11 09/04/12 12:03:01 HTTP/[email protected]_DOMAIN.LAN (ArcFour with HMAC/md5)
Kinit funciona para ambos.
de configuración de Kerberos en el servidor:
Krb5Keytab /etc/krb5.keytab
AuthType Kerberos
KrbMethodNegotiate On
AuthName "Kerberos Login"
KrbAuthRealms MY_DOMAIN.LAN
KrbVerifyKDC Off
KrbMethodK5Passwd On
Require valid-user
Alguien podía adivinar dónde está el problema? ¿Es posible usar la dirección IP en Kerberos SSO?
Es bastante impactante para mí y extraño que en todos los artículos sobre Kerberos que nunca fue mencionado. ¿Podría nombrar otra forma de autenticación SSO que admita direcciones IP? –
No lo creo. Lea [this] (http://support.microsoft.com/kb/322979/en-us?fr=1) y [este] (http://www.cmf.nrl.navy.mil/krb/kerberos -faq.html # kerbdns). Bueno, el nombre 'SPN' implica que opera con * nombres * y no con direcciones IP. No hay alternativa a Kerberos en un entorno corporativo. Todo lo demás no es SSO. ¿Por qué no quieres usar el nombre de host? Todo el Directorio Activo trata de DNS, nombres de host y Kerberos. Usó DNS para descubrir DC y KDC y muchos más servicios. –
Gracias, su respuesta fue realmente útil. Nuestros socios usan enlaces de direcciones IP, será difícil hacer que usen DNS. –