Apache2 + mod_auth_kerb: номер версии ключа для принципала в таблице ключей неверен

Question

Apache2 + mod_auth_kerb: номер версии ключа для принципала в таблице ключей неверен

Я настроил apache2 и mod_auth_kerb. Я настроил свой.htaccess таким образом

# cat .htaccess
AuthType Kerberos
AuthName "Domain login"
KrbAuthRealms DOMAIN.COM
KrbMethodK5Passwd on
Krb5KeyTab /etc/httpd/httpd.keytab
require valid-user

Когда я открываю страницу в IE, я получаю следующую ошибку в логах apache:

gss_accept_sec_context() failed: Miscellaneous failure (, Key version number for principal in key table is incorrect)

Затем я могу установить пароль и войти через Basic Auth, и это совершенно нормально. Но я не могу подтвердить подлинность по билету.

# klist -k /etc/httpd/httpd.keytab
Keytab name: FILE:/etc/httpd/httpd.keytab
KVNO Principal
---- --------------------------------------------------------------------------
   6 host/portal.domain.com@DOMAIN.COM
   6 host/portal.domain.com@DOMAIN.COM
   6 host/portal.domain.com@DOMAIN.COM
   6 host/portal@DOMAIN.COM
   6 host/portal@DOMAIN.COM
   6 host/portal@DOMAIN.COM
   6 PORTAL$@DOMAIN.COM
   6 PORTAL$@DOMAIN.COM
   6 PORTAL$@DOMAIN.COM
   6 HTTP/portal.domain.com@DOMAIN.COM
   6 HTTP/portal.domain.com@DOMAIN.COM
   6 HTTP/portal.domain.com@DOMAIN.COM
   6 HTTP/portal@DOMAIN.COM
   6 HTTP/portal@DOMAIN.COM
   6 HTTP/portal@DOMAIN.COM

Что мне делать с КВНО? Что с этим не так?

PS KDC - это KDC внутри ActiveDirectory (сервер Windows 2003). Моя серверная платформа - SUSE Linux 10:

# cat /proc/version
Linux version 2.6.16.60-0.21-smp (geeko@buemphasized textildhost) (gcc version 4.1.2 20070115 (SUSE Linux)) #1 SMP Tue May 6 12:41:02 UTC 2008

mod_auth_kerb является последним (5.4-4.15). Kerberos lib не является:

# zypper search krb
Restoring system sources...
Parsing metadata for SUSE Linux Enterprise Server 10 SP3...
S | Catalog                             | Type    | Name               | Version        | Arch
--+-------------------------------------+---------+--------------------+----------------+-------
i | SUSE Linux Enterprise Server 10 SP3 | package | krb5               | 1.4.3-19.43.27 | x86_64
i | SUSE Linux Enterprise Server 10 SP3 | package | krb5-apps-clients  | 1.4.3-19.43.27 | x86_64
i | SUSE Linux Enterprise Server 10 SP3 | package | krb5-apps-servers  | 1.4.3-19.43.27 | x86_64
i | SUSE Linux Enterprise Server 10 SP3 | package | krb5-client        | 1.4.3-19.43.27 | x86_64
i | SUSE Linux Enterprise Server 10 SP3 | package | krb5-devel         | 1.4.3-19.43.27 | x86_64
i | SUSE Linux Enterprise Server 10 SP3 | package | krb5-server        | 1.4.3-19.43.27 | x86_64

3

apache-2.2 active-directory single-sign-on mod-auth-kerb

Источник

petRUShka 28 фев '12 в 18:20

1 ответ

Другие вопросы по тегам apache-2.2 active-directory single-sign-on mod-auth-kerb

Trevor Dell 26 фев '13 в 14:27 2013-02-26 14:27 · Answer 1 · 2013-02-26 14:27

KVNO номер версии таблицы ключей, каждый раз, когда вы генерируете новую таблицу ключей или пароль изменяется KVNO увеличивается Номер должен соответствовать тому, что находится внутри Active Directory. Эта ошибка означает, что таблица ключей содержит запись, которую мастер считает устаревшей.

Вы можете увидеть KVNO в каталоге с помощью adsiedit.msc, Под надлежащим пользователем ищите msDS-KeyVersionNumber атрибутов; обычно это должно быть идентично тому, что является keytab. (В вашем случае 6.)