我已经工作了很长时间让 Drupal 7 对 Windows Server 2003 环境执行 SSO 身份验证。
我目前所做的:
在 Active Directory 中为 Linux 服务器创建一个用户帐户。让 Active Directory 管理员执行 ktpass 命令以创建具有正确身份验证类型和 SPN 的密钥表文件。在 Linux 服务器上的 krb5.conf 中配置 Kerberos,以反映我们的 Active Directory 环境的具体情况。我可以针对自己的 AD 帐户发出 kinit 命令,并且它会进行身份验证。当我向我刚刚创建的服务器帐户的 SPN 发出 kvno 时,我收到以下信息:kvno:获取 HTTP/ 凭据时票证已过期[电子邮件保护]
我还将密钥表上传到服务器。但就是无法让 KDC 为我创建的 SPN 签发票据。有人能帮忙吗?
问候,
安迪·斯科特
答案1
当我的时间在 Linux 和 AD 之间无法正确同步时,我收到了“已过期”消息。我假设您的时间服务器也是域控制器(通常是这样设置的),因此您可以使用 ntpdate 检查时间设置。
跑步:
ntpdate 你的 AD 服务器的 IP
然后再次尝试 kvno。