問題タブ [mod-auth-kerb]

オプションの Kerberos ネゴシエーションを実行する方法でMod_auth_kerb ( http://modauthkerb.sourceforge.net/configure.html ) を構成できますか?

1. ブラウザがネゴシエートするように構成されている場合、Mod_auth_kerb はネゴシエーションを実行し、ユーザーを認証します (そして送信しますREMOTE_USER) 。

2. ブラウザがネゴシエートするように構成されていない場合、Mod_auth_kerb は認証を実行せず、.xml なしでリクエストを送信しますREMOTE_USER。その後、アプリケーションはリクエストの認証を実行します。Mod_auth_kerb が 401 NEGOTIATE を返さないことが重要です。

Apache 2.2.15-30 (CentOs 6.5) で Kerberos 認証をセットアップしようとしていますが、デバッグまたは解決できない問題に直面しています。KDC ログで TGS 要求を確認でき、Firefox は正しい Authorization: Negotiate ヘッダーを送信しますが、Apache で問題が発生し、HTTP 500 を取得しています。

krb5kdc.log

アパッチのエラーログ

HTTP ダンプ

kdc.conf

/etc/krb5.conf

auth_kerb.conf

klist -e -k /etc/httpd/conf/http.keytabb

問題が何であるかを知っている人はいますか？コメントをいただければ幸いです。

ありがとう、マーティン

Apache と mod_auth_kerb を使用してユーザーを認証し、ユーザー名 (X-Remote-User) を含む HTTP ヘッダーを使用してそれらを宛先 Web サーバーにプロキシするようにセットアップしました。

宛先 Web サーバーから適切なログアウト メカニズムをセットアップするにはどうすればよいですか? - 呼び出す URL などは?

Kerberos (mod_auth_kerb) を介して Active Directory に対して Apache Web サーバーに SSO を展開しています。

モジュールは正しくインストールされ、構成されています。AD ネットワークにログインしているユーザーで Apache Web サイトにアクセスすると、Apache はREMOTE_USER変数を介してユーザーの資格情報を正しく受け取ります。問題は、外部ユーザー (非 AD ネットワークのユーザー) が通常のログインを介して Apache Web サイトにアクセスできるようにしたいということですが、彼らは

401 承認が必要です

ウェブサイトにアクセスするとき。

これは kerberos 構成で実現できると思いますが、解決には至っていません。これが kerberos の場所のディレクティブで可能かどうか、または仮想ホスト構成の場所のディレクティブで IP 範囲による場所へのアクセスを制限するなど、これに対する回避策を設定する必要があるかどうかを知っている人はいますか?

私の仮想ホスト構成は次のとおりです。

コードで krb5.conf のパスを設定する必要があります。どれがスレッドセーフか教えてください。

方法 1: 環境変数を次のように設定します。

方法 2:(これで krb5.conf ファイル パスが設定されるかどうかはわかりません)

go http サーバーの前での認証などのリバース プロキシとして Apache を使用しています。

次の apache kerberos セットアップは、1 つの問題で動作します。go アプリケーションで認証済みのユーザー名を取得する方法がわかりません。

httpd.conf:

と

go 関数を使用して、リクエストの Authorization ヘッダーからユーザー名を取得します

ただし、Authorization ヘッダーのネゴシエーションでは、これは不可能です。さらに、cgi 環境がないため、REMOTE_USER 環境変数を使用できません。RequestHeader も設定しようとしましたが、成功しませんでした。

go アプリケーションから承認されたユーザー名を取得する可能性はありますか?

Apache の auth_kerb を使用して認証するアプリケーションで switch_user 機能をセットアップしようとしています。REMOTE_USER正しく返され、ログインできます。ただし、別のユーザーになりすまそうとするとできません。切り替え先のユーザーはアプリケーション内に存在します。ユーザーを切り替えようとする試みが発生しますが、事前認証が再度呼び出され、イニシャルREMOTE_USERが読み込まれます。

remote_user とカスタム ユーザー プロバイダーを使用して switch_user を機能させる方法についてのアイデアはありますか?

security.yml

services.yml

SecurityListener.php

WebServiceProvider.php

Python2.6 と Apache Web アプリケーションで SLES11 を使用しています。Kerberos を使用する Active Directory サーバーがあり、アプリケーションで SSO を使用したいと考えています。

ドメイン EXAMPLE.ORG にサービス プリンシパル HTTP/host.example.org を作成済みです。このユーザーは、ダミー ユーザー app.dmy@EXAMPLE.ORG にマップされます。

Kerberos は Linux クライアントで正常に動作し、サービス プリンシパルを初期化できます

kinit -s HTTP/host.example.org app.dmy@EXAMPLE.ORG

klist

私の /etc/krb5.conf は次のようになります。

Apache とmod_auth_kerb SSO による認証を使用すると、正常に動作します。しかし、接続をより詳細に制御したいので、Apache認証を無効にし、Python（cherrypyフレームワーク）で独自のモジュールを作成しました。

pyKerberos をインストールしました (Kerberos1.2.2 が機能せず、Python がセグメンテーション違反でクラッシュします)。

ここに私のpythonコード：

ログに次の結果が表示されます。

キャッシュファイルは tmp に存在し、spn は kinit に登録されます。

私は 3 ノード クラスターを持っています。最初のノードで、サービスを kerberos 有効モードでインストールしました。ロードバランサーの場合、2 番目のノードに httpd 2.2.15 バージョン、apr 1.5.2 および apr-util 1.5.4 をインストールし、「./configure」、make、make install コマンドが正常に実行されました。kerberosを有効にするために、mod_auth_kerb.soモジュールをインストールし、httpd.confにも追加しました。「./apachectl restart」を使用してApacheサービスを再起動すると、エラーが発生します

httpd: /usr/local/apache2/conf/httpd.conf の 80 行目の構文エラー: /usr/lib64/httpd/modules/mod_auth_kerb.so をサーバーにロードできません: /usr/lib64/httpd/modules/mod_auth_kerb.so : 未定義のシンボル: ap_log_error