我有一个类似于“AD.EXAMPLE.COM”的 Active Directory 域。
我安装了一个 Apache 服务器,该服务器的 FQDN
与我的 AD 域名略有不同:“apache.example.com”(不带 AD)。
我正在尝试通过 mod_auth_kerb 配置对 Apache 服务器的 Kerberos 直通身份验证
,并且在生成密钥表时我使用了以下 SPN:
HTTP/[email protected]
形式应该是这样的(根据文件):HTTP/FQDN@REALM
配置文件的相关http.conf部分如下:
<Location "/secure">
AuthType Kerberos
AuthName "Kerberos Login"
KrbMethodNegotiate On
KrbMethodK5Passwd On
KrbAuthRealms AD.EXAMPLE.COM
KrbLocalUserMapping On
KrbServiceName HTTP
Krb5KeyTab /etc/httpd/conf.d/apache.keytab
require valid-user
</Location>
当我尝试从域内访问 Apache 服务器时,系统提示
我输入密码,因此直通身份验证不起作用。
我遗漏了什么?
提前致谢。
答案1
你可能想要设置KrbMethodK5Passwd为off。来源:http://modauthkerb.sourceforge.net/configure.html
KrbMethodK5Passwd on | off
(set to on by default)
To enable or disable the use of password based authentication for Kerberos v5.