我能找到的所有关于使用 Active Directory 身份验证设置单点登录 Apache 托管网站的教程都是通过使用不安全的设置配置 Kerberos 来实现的。一段时间以来，最佳做法是在 Active Directory 中禁用 Kerberos 的 RC4-HMAC 加密，但很多教程要求覆盖 krb5.conf 的默认值并使一切都使用 RC4-HMAC 工作。

我想尝试使用 AES256 加密设置单点登录，并且我设法使其工作，所以我将这个问题和答案记录下来，以供任何想要为其网站提供更好安全性的人使用。

从 RC4-HMAC 开始

我们首先让它与 RC4-HMAC 一起工作，因为这比较简单。设置 SSO 的标准步骤首先是创建一个具有关联 SPN 的域帐户，浏览器将使用该帐户获取要发送到服务器的加密凭据。在此示例中，我的用户是 REALM\HostServiceAccount：

• 统一号码：[电子邮件保护]（因此 Kerberos 主体名称是[电子邮件保护]）
• servicePrincipalName 属性（也可以通过 setspn 设置）：HTTP/host.example.com；HTTP/host（Kerberos：HTTP/[电子邮件保护]）
• 保留加密设置；默认情况下，这会使 RC4-HMAC 成为允许的最强加密，因此来自域的票证将使用此加密

我们在目标服务器上的 /etc/krb5.conf 中添加以下条目：

[libdefaults]
    default_realm = REALM.COM

[domain_realm]
    .realm.com = REALM.COM
    realm.com = REALM.COM

我们创建 keytab 并让服务器读取它：

# ktutil
ktutil:  add_entry -password -p HTTP/[email protected] -k 1 -e rc4-hmac
Password for HTTP/[email protected]: <enter password here>
ktutil:  write_kt /etc/apache2/service.keytab
ktutil:  q
# chown -v www-data:root /etc/apache2/service.keytab
# chmod -v 440 /etc/apache2/service.keytab

（当然，此时您可能想要使用它来测试 keytab。）kinit -kt service.keytab -S HTTP/[email protected] [email protected]

最后，我们设置 Apache 使用我们的 keytab 对用户进行身份验证：

KrbDelegateBasic off
KrbAuthoritative on
KrbMethodK5Passwd off
Krb5Keytab /etc/apache2/service.keytab
KrbAuthRealms REALM.COM

LogLevel debug

重新启动 Apache 后，如果一切顺利，我们将从 Windows 域计算机向服务器发出请求，并在 Apache 的错误日志中看到以下内容：

[debug] src/mod_auth_kerb.c(1641): [client ****] kerb_authenticate_user entered with user (NULL) and auth_type Kerberos, referer: ****
[debug] src/mod_auth_kerb.c(1395): [client ****] Verifying client data using KRB5 GSS-API , referer: ****
[debug] src/mod_auth_kerb.c(1411): [client ****] Client didn't delegate us their credential, referer: ****
[debug] src/mod_auth_kerb.c(1430): [client ****] GSS-API token of length 185 bytes will be sent back, ****

在我们的客户端机器上运行 klist（或使用 Wireshark 查看请求中的票证），我们看到我们确实使用了 RC4-HMAC 票证进行身份验证：

#4>     Client: fluggo @ REALM.COM
        Server: HTTP/host.example.com @ REALM.COM
        KerbTicket Encryption Type: RSADSI RC4-HMAC(NT)

升级为更好的加密

一切都很好，但这并不是我们的目标。RC4-HMAC 被认为是不安全的，所以让我们禁用它并尝试使相同的设置与 AES256 一起工作。

首先，我们将要求我们友好的邻居域管理员在 REALM\HostServiceAccount 上启用高级加密，这将是两个标记为的复选框：

• 此帐户支持 Kerberos AES 128 位加密
• 此帐户支持 Kerberos AES 256 位加密

这些会出现在不同的位置，具体取决于您使用的工具；最终结果应该是 LDAP 属性 msDS-SupportedEncryptionTypes 应该是 0x18 或十进制 24，这表示仅支持 AES128 和 AES256。

为了确保此操作有效，我们将取消本地客户端票据：

C:>klist purge

Current LogonId is 0:0xdeadbeef
        Deleting all tickets:
        Ticket(s) purged!

如果我们再次执行请求，我们会看到请求已失败，但我们收到了更新的票证：

C:>klist
      ...
#3>     Client: fluggo @ REALM.COM
        Server: HTTP/host.example.com @ REALM.COM
        KerbTicket Encryption Type: AES-256-CTS-HMAC-SHA1-96

现在我们只需要用新算法更新我们的密钥表，我们就应该成功了：

# mv /etc/apache2/service.keytab ~/old.keytab
# ktutil
ktutil:  add_entry -password -p HTTP/[email protected] -k 1 -e aes256-cts-hmac-sha1-96
Password for HTTP/[email protected]: <enter password here>
ktutil:  add_entry -password -p HTTP/[email protected] -k 1 -e aes128-cts-hmac-sha1-96
Password for HTTP/[email protected]: <enter password here>
ktutil:  write_kt /etc/apache2/service.keytab
ktutil:  q
# chown -v www-data:root /etc/apache2/service.keytab
# chmod -v 440 /etc/apache2/service.keytab

我们甚至不需要重新启动 Apache。只需重新提交请求即可。

哎呀... 它不起作用。如果我们查看 Apache 的错误日志，我们会看到：

[debug] src/mod_auth_kerb.c(1641): [client ****] kerb_authenticate_user entered with user (NULL) and auth_type Kerberos
[debug] src/mod_auth_kerb.c(1249): [client ****] Acquiring creds for [email protected]
[debug] src/mod_auth_kerb.c(1395): [client ****] Verifying client data using KRB5 GSS-API
[debug] src/mod_auth_kerb.c(1411): [client ****] Client didn't delegate us their credential
[debug] src/mod_auth_kerb.c(1430): [client ****] GSS-API token of length 9 bytes will be sent back
[debug] src/mod_auth_kerb.c(1110): [client ****] GSS-API major_status:000d0000, minor_status:000186a5
[error] [client ****] gss_accept_sec_context() failed: Unspecified GSS failure.  Minor code may provide more information (, )

好吧，这是一条毫无帮助的错误信息，但到底出了什么问题？答案和解决方案如下！