我目前正在尝试在 apache 中配置 kerberos sso。在测试服务器上,网站子内部本地参考 kerb sso 运行良好。当我尝试将配置应用于另一台 Apache 服务器时,该服务器通过以下方式打开sub.external.com我只得到一个登录对话框。
所以仅就我的理解而言,我需要在 krb5.conf 文件或 *.keytab 文件的生成中进行哪些更改?
internal.local 是我们的内部活动目录域;
external.com 是我们外部的默认网址,由于存在内部 DNS 查找区域,因此在内部也可以使用;
答案1
您还没有解释您在这里完成了 SPNEGO 的基本设置,所以我假设您没有。
HTTP/sub.external.com
您是否在 KDC 中创建了主体?- 您是否能够获得
HTTP/sub.external.com
使用 MITkvno
或 Windows的服务票klist
? - 您是否使用额外主体的密钥更新了 Web 服务器上的密钥表?
- 您是否使用过类似的工具
curl
来运行 SPNEGO 身份验证并读取日志? - 您是否将浏览器配置为允许 SPNEGO
*.external.com
(或任何适当的域白名单)? - 您是否已确认浏览器确实通过读取其日志或至少检查是否获取了 HTTP 主体的票证来执行 Kerberos 交换?
- 您读过服务器端日志吗?