mod-auth-kerb

mod_auth_kerberos“未指定的 GSS 失败”
mod-auth-kerb

mod_auth_kerberos“未指定的 GSS 失败”

我全新安装了 apache 2.4。我想使用 kerberos 身份验证。我编译并安装了 mod_auth_kerb 模块。这是我的配置 <location "/restriced/"> SSLRequireSSL AuthName "Kerberos login" AuthType Kerberos KrbMethodNegotiate On KrbMethodK5Passwd Off KrbVerifyKDC Off KrbServiceName HTTPS KrbAuthRealms ******.*** Krb5KeyTab /etc/...

Admin

LDAP Auth 代理根据 LDAP 组添加标头
mod-auth-kerb

LDAP Auth 代理根据 LDAP 组添加标头

我正在尝试设置一些 WebSSO 机制,允许我的客户根据内部 Active Directory 对人员进行身份验证,然后添加包含凭据信息的安全(https)标头。 版本 1 OK:验证并添加标题 第一个版本“相当”简单。我使用 Apache 和 mod_auth_kerb 进行身份验证,然后添加标头。以下配置是现有配置的 kinsnippet。 <VirtualHost *:80> ServerName external-sso.corp.fr RewriteEngine On </VirtualHost> ...

Admin

如果没有提供 TGT,则通过 mod_auth_kerb 进行身份验证的网站不应有用户
mod-auth-kerb

如果没有提供 TGT,则通过 mod_auth_kerb 进行身份验证的网站不应有用户

用户通过 mod_auth_kerb 进行身份验证,效果很好。因此我需要设置 需要有效用户 如果没有有效用户,Apache 将失败并出现 401 需要授权。我希望 Apache 无论如何都能提供网站,但不REMOTE_USER向底层应用程序(python 代码或 php 脚本)提供。 这与如何告诉 mod_auth_kerb 在没有“需要有效用户”的情况下完成其工作。但有一个重要的区别,那就是在每个 URL 的整个子目录上都应该启动 Kerberos 协商,如果失败,也应该传递内容。 ...

Admin

Apache 反向代理未将自定义标头传递给目标服务器
mod-auth-kerb

Apache 反向代理未将自定义标头传递给目标服务器

我不确定这是否是提出此类问题的正确地方,但同时我也不知道有更好的地方,所以请耐心等待。 我已将 Apache 配置为 PostGraphile 服务的反向代理。我的想法是使用 Apache 进行 Kerberos 身份验证,然后使经过身份验证的用户可以使用 PostGraphile 服务。 我还需要向该服务传递一些自定义标头。 此时,我可以启用 Kerberos 身份验证或传递标头。一旦我启用身份验证,服务端就不会出现标头。 这是我的虚拟主机配置: <VirtualHost *:80> <Location /> ...

Admin

Kerberos Apache 一直要求使用 BASIC
mod-auth-kerb

Kerberos Apache 一直要求使用 BASIC

在我的网站上为 Kerberos 身份验证苦苦挣扎了很长时间之后,我终于来找你了,因为我迷路了。我目前正在创建一个经典的 PHP 网站,我想通过使用 Kerberos 来实现无缝身份验证。 情况是这样的: 我有一个具有 KDC 角色的 Windows 2012R2 域控制器。 我有一个 Linux LAMP 服务器(fqdn = webserver.domain.local)。 我的网站托管在 Linux 服务器上,可以通过 HTTPS 访问,名称如下:site.domain.local 我主要按照以下说明设置了我的 Kerberos 身份验证:http...

Admin

不同 FQDN 的 mod_auth_kerb 密钥表文件
mod-auth-kerb

不同 FQDN 的 mod_auth_kerb 密钥表文件

我有一个类似于“AD.EXAMPLE.COM”的 Active Directory 域。 我安装了一个 Apache 服务器,该服务器的 FQDN 与我的 AD 域名略有不同:“apache.example.com”(不带 AD)。 我正在尝试通过 mod_auth_kerb 配置对 Apache 服务器的 Kerberos 直通身份验证,并且在生成密钥表时我使用了以下 SPN: HTTP/[email protected] 形式应该是这样的(根据文件):HTTP/FQDN@REALM 配置文件的相关http.conf部分如下: &...

Admin

Apache 在 keytab 文件中找不到 kerberos 主体
mod-auth-kerb

Apache 在 keytab 文件中找不到 kerberos 主体

虚拟主机已配置了这些选项; AuthType Kerberos AuthName "Kerberos Login" KrbMethodNegotiate On KrbMethodK5Passwd Off KrbAuthRealms EXAMPLE.COM KrbAuthoritative On KrbServiceName HTTP/[email protected] Krb5KeyTab /path/to/krb/site.keytab require valid-user site.keytab 可被 apache 读取,并包含有效的主体...

Admin

使用 Kerberos 票证访问 WebDAV
mod-auth-kerb

使用 Kerberos 票证访问 WebDAV

使用 Apache 的 mod_dav 作为服务器,使用 Samba 4.1.17 作为服务器,并使用 Windows 7 及以上版本作为客户端,如何使用 Kerberos 挂载 WebDAV 共享进行身份验证? 目前,我已确认 WebDAV 和 Kerberos 可与 IE 和 Firefox 用户代理配合使用。以下是 IE 工作的示例: [23/Aug/2015:15:22:56 +0100] "GET / HTTP/1.1" 200 1062 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 10...

Admin

当使用带有 mod_auth_kerb 的 Apache HTTPD 与 AD 通信时,如何避免 KVNO 频繁增加?
mod-auth-kerb

当使用带有 mod_auth_kerb 的 Apache HTTPD 与 AD 通信时,如何避免 KVNO 频繁增加?

我已经使用 mod_auth_kerb 设置了 Apache HTTPD 2.4,在 Active Directory 上创建了一个服务帐户,为我的 http 主机名添加了一个 SPN,在 Linux 计算机上创建了一个 keytab 文件,并且让从 IE 登录到 AD 域的用户能够顺利使用 SSO。一切都很好! 但是,大约每周一次,用户无法登录网站,而是收到 http basic auth 提示,无法接受他们的凭据。查看 httpd 服务器日志,我们会看到类似以下条目: [auth_kerb:error] [pid 8040] [client 192....

Admin

Apache 2.2 mod_auth_kerb SSO 停止工作
mod-auth-kerb

Apache 2.2 mod_auth_kerb SSO 停止工作

我完全不知道为什么它就停止工作了,以下是我检查的结果: httpd-错误日志: [Thu Jun 11 18:04:21 2015] [debug] src/mod_auth_kerb.c(1758): [client 10.105.5.131] kerb_authenticate_user entered with user (NULL) and auth_type Kerberos [Thu Jun 11 18:04:21 2015] [debug] src/mod_auth_kerb.c(1758): [client 10.105.5.131] k...

Admin

使用 apache 和 sssd 配置 kerberos/ntlm 单点登录
mod-auth-kerb

使用 apache 和 sssd 配置 kerberos/ntlm 单点登录

使用 NTLM 或最好是 Kerberos 设置 apache 以支持 SSO 的正确/最干净的方法是什么,其中 CentOS7 运行连接到 Active Directory 域控制器的 sssd? 使用 realmd,加入域现在非常容易,但我无法在一个晚上让 apache 工作。看来谷歌目前还没有关于这个主题的答案。 我已经使用 gssapi 和 putty 使 SSO 与 SSH 协同工作。全新安装 CentOS 7 后,我所做的一切就是运行并将 default_domain_suffix 添加到 sssd.conf。realm join [emai...

Admin

Apache - 用 Kerberos(mod_auth_kerb)替换 Apache::AuthenNTLM
mod-auth-kerb

Apache - 用 Kerberos(mod_auth_kerb)替换 Apache::AuthenNTLM

在 Solaris 的内部网系统中,我们目前使用 perlsApache2::AuthenNTLM模块与 Win 2k3 域服务器进行身份验证,这样我们就可以访问浏览网站的人员的用户 ID。 迁移到 Win 2012 AD 服务器后,我们被告知它将不支持 NTLM,而微软目前也不推荐使用 NTLM。mod-auth-kerb有适合此软件用例的替代品吗? 我在 Google 上搜索过,但找不到相关文章或教程介绍 mod-auth-kerb 的用法。我入门很困难,需要有人给我指点方向。 谢谢 ...

Admin

带有 mod_auth_kerb SSO 的 apache2.2:当用户无法验证身份时如何回退到同一目录
mod-auth-kerb

带有 mod_auth_kerb SSO 的 apache2.2:当用户无法验证身份时如何回退到同一目录

我在多域环境中实施了一个内部网 CMS (Joomla 2.5),使用 kerberos 针对 Windows AD -> SSO 进行登录。使用 kerberos 的 SSO 非常适合集成域,对于 CMS 的 SSO 也是如此。我的问题:大约 10% 的用户不在任何域中(主要是销售内容...),因此他们无法使用 kerberos 针对 Windows AD 进行身份验证。但我们也希望为这些用户提供对内部网的访问权限,即使他们无法登录 CMS。我的问题是:有没有办法将这些用户重定向到 CMS 目录作为后备? 我的 apache 配置到目前为止: &...

Admin

向 Kerberos mod_auth_kerb 的 HTTP 401 响应添加自定义标头
mod-auth-kerb

向 Kerberos mod_auth_kerb 的 HTTP 401 响应添加自定义标头

我正在使用 Apachemod_auth_kerb执行 HTTP 身份验证。如何向 auth 模块生成的 401 Authorization Need 响应添加自定义标头? 以下是我的 Apache 配置的相关部分。我的自定义标头在检查通过后添加,Require valid-user但在服务器生成 HTTP 401 响应时在初始请求中被忽略。 <Location /app/login> AuthType Kerberos ... Require valid-user ErrorDocument 401 /re...

Admin

使用 mod_auth_kerb 的 apache 总是要求输入两次密码
mod-auth-kerb

使用 mod_auth_kerb 的 apache 总是要求输入两次密码

(Debian 压缩) 我正在尝试设置 apache 以使用 Kerberos 身份验证来允许 AD 用户登录。它可以工作,但会两次提示用户输入用户名和密码,第一次被忽略(无论输入什么。)只有第二次提示包含来自配置的 AuthName 字符串(即:第一个窗口是通用用户名/密码,第二个窗口包含标题“Kerberos 登录”)我并不担心集成窗口身份验证在此阶段是否有效,我只是希望用户能够使用他们的 AD 帐户登录,这样我们就不需要设置第二个用户帐户存储库。 我该如何解决这个问题,以消除第一个无用的提示? apache2.conf 文件中的指令: <...

Admin