Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

SSO über Kerberos am Active Directory

Frage Linux Apache Server

Mitglied: Lechloan

Lechloan (Level 1) - Jetzt verbinden

08.03.2013 um 17:50 Uhr, 3470 Aufrufe, 2 Kommentare

Hallo, ich habe hier ein problem mit Kerberos. Über Hilfe wäre ich sehr dankbar.

Es soll eine Wiki mit Single-Sign-On im Unternehmen bereitgestellt werden.
Dazu wurde eine Debian 6 mit folgenden Daten eingerichtet:
eth0 = 100.0.11.68 (Daten) und eth1 = 100.0.12.68 (Admin)
hostname wiki-01; FQDN = wiki-01.domain.com

In den DNS-Server (AD-integriert 2003 R2)kamen folgende Einträge:
A wiki-01 -> 100.0.11.68 (plus reverse)
CNAME wiki -> wiki-01.domain.com
A wiki-01.adm -> 100.0.12.68 (plus reverse)
Darauf wurde dann Apache und die Wiki installiert, funktioniert auch alles. Dann wurde mod_auth_kerb über apt-get installiert und wie folgt eingerichtet:
###/etc/krb5.conf
[libdefaults]
default_realm = DOMAIN.COM
default_keytab_name = FILE:/etc/apache2/krb5/krb5..keytab
#rdns = false
[realms]
DOMAIN.COM = {
kdc = dc-01.domain.com
admin_server = dc-01.domain.com
default_domain = domain.com
}
[domain_realm]
Domain.com = DOMAIN.COM
.Domain.com = DOMAIN.COM
[logging]
default = FILE:/var/krb5/kdc.log
kdc = FILE: /var/krb5/kdc.log

### /etch/apache2/conf.d/kerberostest.conf

<Directory /var/www/kerbtest>
Options +FollowSymLinks
AllowOverride All
order allow,deny
allow from all

AuthType Kerberos
KrbAuthRealms DOMAIN.COM
KrbServiceName HTTP
Krb5Keytab /etc/apache2/krb5/krb5..keytab
KrbMethodNegotiate on
KrbMethodK5Passwd off
require valid-user

</Directory>

Dann wurde im AD ein Benutzer Wiki angelegt und ein keytab mit ktpass erstellt.

ktpass -princ HTTP/wiki-01.domain.com@DOMAIN.COM -mapuser wiki@DOMAIN.COM -crypto rc4-hmac-nt -ptype KRB5_NT_PRINCIPAL -pass password -out c:\krb5.keytab

Keytab auf den Debian Server übertragen und man konnte sich an wiki-01.domain.com/kerbtest anmelden ohne nach einem Passwort gefragt zu werden. So weit, so gut.

Ziel ist aber, dass man in die adressbar nur „wiki“ eingibt, ohne die Domain anfügen zu müssen. Also habe ich über ktutil dem keytab noch folgende principals hinzugefügt:

HTTP/wiki.domain.com@DOMAIN.COM
HTTP/wiki@DOMAIN.COM
HTTP/wiki.adm.domain.com@DOMAIN.COM
HTTP/wiki.adm@DOMAIN.COM
HTTP/wiki-01.adm.domain.com@DOMAIN.COM

Und Diese auch als ServicePrincipalNames dem AD-Benutzer wiki hinzugefügt.

Jetzt das Problem: es funktioniert so nicht. Wiki.domain.com/kerbtest geht, wiki/kerbtest geht nicht mit folgender Fehlermeldung im Apache-Error-Log. Unglücklicherweise funktioniert der Kerberos-Log nicht:

gss_acquire_cred() failed: An invalid name was supplied (, Hostname cannot be canonicalized)

Wie kann ich es einrichten, dass ich den Domänennamen weglassen kann?
Mitglied: Rudbert
08.03.2013 um 18:49 Uhr
Hallo,


Ist der DNS auf dem wiki-server korrekt eingerichtet und kann der wiki-server sich selbst denn über "wiki" auflösen?


mfg
Bitte warten ..
Mitglied: Lechloan
12.03.2013 um 15:01 Uhr
Hallo,

daran hat's gelegen.

Danke.
Bitte warten ..
Ähnliche Inhalte
Windows Server
gelöst Active Directory Zertifikatdienste - Dienst kann nicht gestartet werden (1)

Frage von chb1982 zum Thema Windows Server ...

Windows Userverwaltung
Active Directory - OU Anordnung und Aufbau (9)

Frage von nightwishler zum Thema Windows Userverwaltung ...

Batch & Shell
gelöst Powershell Vergleichen Name u Vorname mit Active Directory (5)

Frage von pixel0815 zum Thema Batch & Shell ...

Neue Wissensbeiträge
Google Android

Cyanogenmod alternative Downloadquelle

(5)

Tipp von Lochkartenstanzer zum Thema Google Android ...

Batch & Shell

Batch als Dienst bei Systemstart ohne Anmeldung ausführen

(5)

Tipp von tralveller zum Thema Batch & Shell ...

Sicherheits-Tools

Sicherheitstest von Passwörtern für ganze DB-Tabellen

(1)

Tipp von gdconsult zum Thema Sicherheits-Tools ...

Heiß diskutierte Inhalte
Windows Server
gelöst Exchange HyperV Prozessorlast (19)

Frage von theoberlin zum Thema Windows Server ...

Windows Server
Server mit Netzwerkaussetzern (18)

Frage von SarekHL zum Thema Windows Server ...

Server-Hardware
gelöst SPP von HP Abwärtskompatibel? (14)

Frage von fireskyer zum Thema Server-Hardware ...

LAN, WAN, Wireless
gelöst Batchdatei um einen Proxy einzustellen (14)

Frage von CrystalFlake zum Thema LAN, WAN, Wireless ...