对 Apache 中的 Kerberos SSO 的基本了解

对 Apache 中的 Kerberos SSO 的基本了解

我目前正在尝试在 apache 中配置 kerberos sso。在测试服务器上,网站子内部本地参考 kerb sso 运行良好。当我尝试将配置应用于另一台 Apache 服务器时,该服务器通过以下方式打开sub.external.com我只得到一个登录对话框。

所以仅就我的理解而言,我需要在 krb5.conf 文件或 *.keytab 文件的生成中进行哪些更改?

internal.local 是我们的内部活动目录域;

external.com 是我们外部的默认网址,由于存在内部 DNS 查找区域,因此在内部也可以使用;

答案1

您还没有解释您在这里完成了 SPNEGO 的基本设置,所以我假设您没有。

  • HTTP/sub.external.com您是否在 KDC 中创建了主体?
  • 您是否能够获得HTTP/sub.external.com使用 MITkvno或 Windows的服务票klist
  • 您是否使用额外主体的密钥更新了 Web 服务器上的密钥表?
  • 您是否使用过类似的工具curl来运行 SPNEGO 身份验证并读取日志?
  • 您是否将浏览器配置为允许 SPNEGO *.external.com(或任何适当的域白名单)?
  • 您是否已确认浏览器确实通过读取其日志或至少检查是否获取了 HTTP 主体的票证来执行 Kerberos 交换?
  • 您读过服务器端日志吗?

相关内容