69428
Sep 08, 2008
10087
0
0
Automatische Authentifizierung mittels Kerberos an Active-Directory
Hallo Zusammen!!
Erste Beitrag in diesem Forum und direkt ein Problem - ich hoffe ihr helft mir trotzdem
Ich möchte einen Apache-Webserver für ein Intranet aufsetzen, an dem die jeweiligen Benutzer der Windows-Domäne automatisch über den bereits bestehenden Kerberos-Server authentifziert werden.
Gleich vorab: ich habe mich bisher relativ wenig mit Windows Server Sachen beschäftigt und komme tendenziell eher aus der Linux-Welt , also wenn ich da jetzt ein paar Begriffe durcheinander werfen sollte, bitte ich um Nachsicht..
Die Konfiguration:
Server (Domäncontroller) :
Name: w3-dc1
Windows Server 2003 mit Active Directory
Domain: star.local
Client ( Webserver)
Name: lx-intra
Ubuntu-Linux
Apache 2 + Kerberos-Modul (http://modauthkerb.sourceforge.net/)
Von Achim Grolms gibt es ein gutes Tutorial (http://www.grolmsnet.de/kerbtut/) , dass ich Schritt für Schritt durchgemacht habe, allerdings hänge ich da jetzt im letzten Schritt (8 bzw. 9) fest und bekomme die automatische automatische Authentifizierung nicht hin. D.h.:
- ich habe einen Principal für den Webserver im AD angelegt. ( Wie im Tutorial gefordert mit HTTP/lx-intra@star.local)
- Keytab erzeugt.
- manuelles anfordern eines Tickets mit dem Keytab vom Client klappt.
- automatisches Anfordern über den Browser schlägt fehl.
In den Log-Files des Apaches findet sich die folgende Fehlermeldung:
[Fri Sep 05 11:33:30 2008] [debug] src/mod_auth_kerb.c(1488): [client 10.11.0.87] kerb_authenticate_user entered with user (NULL) and auth_type Kerberos
[Fri Sep 05 11:33:30 2008] [debug] src/mod_auth_kerb.c(1488): [client 10.11.0.87] kerb_authenticate_user entered with user (NULL) and auth_type Kerberos
[Fri Sep 05 11:33:30 2008] [debug] src/mod_auth_kerb.c(1175): [client 10.11.0.87] Acquiring creds for HTTP@lx-intra
[Fri Sep 05 11:33:30 2008] [error] [client 10.11.0.87] gss_acquire_cred() failed: Unspecified GSS failure. Minor code may provide more information (No principal in keytab matches desired name)
Wenn ich die Ausagben richtig deute, dann versucht doch der Apache eine Authentifizierung für HTTP@lx-intra durchzuführen. Das kann ja nicht klappen, da der richtige Name HTTP/lx-intra@star.local ist. Ich verstehe auch überhaupt garnicht, woher dieser Name jetzt kommt?
Hat jemand eine Idee woran das liegen könnte bzw. wo ich nach dem Fehler suchen kann? Ich bin hier langsam ein wenig am verzweifeln..
Vielen Dank für die Hilfe,
Timo
Erste Beitrag in diesem Forum und direkt ein Problem - ich hoffe ihr helft mir trotzdem
Ich möchte einen Apache-Webserver für ein Intranet aufsetzen, an dem die jeweiligen Benutzer der Windows-Domäne automatisch über den bereits bestehenden Kerberos-Server authentifziert werden.
Gleich vorab: ich habe mich bisher relativ wenig mit Windows Server Sachen beschäftigt und komme tendenziell eher aus der Linux-Welt , also wenn ich da jetzt ein paar Begriffe durcheinander werfen sollte, bitte ich um Nachsicht..
Die Konfiguration:
Server (Domäncontroller) :
Name: w3-dc1
Windows Server 2003 mit Active Directory
Domain: star.local
Client ( Webserver)
Name: lx-intra
Ubuntu-Linux
Apache 2 + Kerberos-Modul (http://modauthkerb.sourceforge.net/)
Von Achim Grolms gibt es ein gutes Tutorial (http://www.grolmsnet.de/kerbtut/) , dass ich Schritt für Schritt durchgemacht habe, allerdings hänge ich da jetzt im letzten Schritt (8 bzw. 9) fest und bekomme die automatische automatische Authentifizierung nicht hin. D.h.:
- ich habe einen Principal für den Webserver im AD angelegt. ( Wie im Tutorial gefordert mit HTTP/lx-intra@star.local)
- Keytab erzeugt.
- manuelles anfordern eines Tickets mit dem Keytab vom Client klappt.
- automatisches Anfordern über den Browser schlägt fehl.
In den Log-Files des Apaches findet sich die folgende Fehlermeldung:
[Fri Sep 05 11:33:30 2008] [debug] src/mod_auth_kerb.c(1488): [client 10.11.0.87] kerb_authenticate_user entered with user (NULL) and auth_type Kerberos
[Fri Sep 05 11:33:30 2008] [debug] src/mod_auth_kerb.c(1488): [client 10.11.0.87] kerb_authenticate_user entered with user (NULL) and auth_type Kerberos
[Fri Sep 05 11:33:30 2008] [debug] src/mod_auth_kerb.c(1175): [client 10.11.0.87] Acquiring creds for HTTP@lx-intra
[Fri Sep 05 11:33:30 2008] [error] [client 10.11.0.87] gss_acquire_cred() failed: Unspecified GSS failure. Minor code may provide more information (No principal in keytab matches desired name)
Wenn ich die Ausagben richtig deute, dann versucht doch der Apache eine Authentifizierung für HTTP@lx-intra durchzuführen. Das kann ja nicht klappen, da der richtige Name HTTP/lx-intra@star.local ist. Ich verstehe auch überhaupt garnicht, woher dieser Name jetzt kommt?
Hat jemand eine Idee woran das liegen könnte bzw. wo ich nach dem Fehler suchen kann? Ich bin hier langsam ein wenig am verzweifeln..
Vielen Dank für die Hilfe,
Timo
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 96332
Url: https://administrator.de/contentid/96332
Printed on: April 19, 2024 at 09:04 o'clock
