在 FreeIPA 中,当浏览 Web UI 时,失败的身份验证会话应重定向到http://<servername>/browserconfig.html。但我的却没有。
也许我把事情复杂化了,但默认的 FreeIPA Apacheipa.conf似乎禁用了目录的非 kerberos 会话。
以下是 ipa.conf 的摘录
# Protect /ipa and everything below it in webspace with Apache Kerberos auth
<Location "/ipa">
AuthType Kerberos
AuthName "Kerberos Login"
KrbMethodNegotiate on
KrbMethodK5Passwd off
KrbServiceName HTTP
KrbAuthRealms <servername>
Krb5KeyTab /etc/httpd/conf/ipa.keytab
KrbSaveCredentials on
KrbConstrainedDelegation on
Require valid-user
ErrorDocument 401 /ipa/errors/unauthorized.html
</Location>
不幸的是,这在我的服务器上不起作用。当我身份验证失败时,我收到 404 Not Found 消息。我不确定为什么。
答案1
如果从 Web UI(ipa/ui/index.html#something)调用身份验证,则应在登录页面报告失败尝试,而不会自动重定向到 browserconfig.html。
自 IPA 4.1 起,登录页面在右侧的说明部分包含指向 browserconfig.html 的链接。
我实际上不确定您所说的“当我身份验证失败时,我会收到 404 未找到消息”是什么意思,因为您没有指定您已完成的步骤(使用 SSO/基于表单的登录/有一个旧会话)...