Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

SSO über Kerberos am Active Directory

Frage Linux Apache Server

Mitglied: Lechloan

Lechloan (Level 1) - Jetzt verbinden

08.03.2013 um 17:50 Uhr, 3564 Aufrufe, 2 Kommentare

Hallo, ich habe hier ein problem mit Kerberos. Über Hilfe wäre ich sehr dankbar.

Es soll eine Wiki mit Single-Sign-On im Unternehmen bereitgestellt werden.
Dazu wurde eine Debian 6 mit folgenden Daten eingerichtet:
eth0 = 100.0.11.68 (Daten) und eth1 = 100.0.12.68 (Admin)
hostname wiki-01; FQDN = wiki-01.domain.com

In den DNS-Server (AD-integriert 2003 R2)kamen folgende Einträge:
A wiki-01 -> 100.0.11.68 (plus reverse)
CNAME wiki -> wiki-01.domain.com
A wiki-01.adm -> 100.0.12.68 (plus reverse)
Darauf wurde dann Apache und die Wiki installiert, funktioniert auch alles. Dann wurde mod_auth_kerb über apt-get installiert und wie folgt eingerichtet:
###/etc/krb5.conf
[libdefaults]
default_realm = DOMAIN.COM
default_keytab_name = FILE:/etc/apache2/krb5/krb5..keytab
#rdns = false
[realms]
DOMAIN.COM = {
kdc = dc-01.domain.com
admin_server = dc-01.domain.com
default_domain = domain.com
}
[domain_realm]
Domain.com = DOMAIN.COM
.Domain.com = DOMAIN.COM
[logging]
default = FILE:/var/krb5/kdc.log
kdc = FILE: /var/krb5/kdc.log

### /etch/apache2/conf.d/kerberostest.conf

<Directory /var/www/kerbtest>
Options +FollowSymLinks
AllowOverride All
order allow,deny
allow from all

AuthType Kerberos
KrbAuthRealms DOMAIN.COM
KrbServiceName HTTP
Krb5Keytab /etc/apache2/krb5/krb5..keytab
KrbMethodNegotiate on
KrbMethodK5Passwd off
require valid-user

</Directory>

Dann wurde im AD ein Benutzer Wiki angelegt und ein keytab mit ktpass erstellt.

ktpass -princ HTTP/wiki-01.domain.com@DOMAIN.COM -mapuser wiki@DOMAIN.COM -crypto rc4-hmac-nt -ptype KRB5_NT_PRINCIPAL -pass password -out c:\krb5.keytab

Keytab auf den Debian Server übertragen und man konnte sich an wiki-01.domain.com/kerbtest anmelden ohne nach einem Passwort gefragt zu werden. So weit, so gut.

Ziel ist aber, dass man in die adressbar nur „wiki“ eingibt, ohne die Domain anfügen zu müssen. Also habe ich über ktutil dem keytab noch folgende principals hinzugefügt:

HTTP/wiki.domain.com@DOMAIN.COM
HTTP/wiki@DOMAIN.COM
HTTP/wiki.adm.domain.com@DOMAIN.COM
HTTP/wiki.adm@DOMAIN.COM
HTTP/wiki-01.adm.domain.com@DOMAIN.COM

Und Diese auch als ServicePrincipalNames dem AD-Benutzer wiki hinzugefügt.

Jetzt das Problem: es funktioniert so nicht. Wiki.domain.com/kerbtest geht, wiki/kerbtest geht nicht mit folgender Fehlermeldung im Apache-Error-Log. Unglücklicherweise funktioniert der Kerberos-Log nicht:

gss_acquire_cred() failed: An invalid name was supplied (, Hostname cannot be canonicalized)

Wie kann ich es einrichten, dass ich den Domänennamen weglassen kann?
Mitglied: Rudbert
08.03.2013 um 18:49 Uhr
Hallo,


Ist der DNS auf dem wiki-server korrekt eingerichtet und kann der wiki-server sich selbst denn über "wiki" auflösen?


mfg
Bitte warten ..
Mitglied: Lechloan
12.03.2013 um 15:01 Uhr
Hallo,

daran hat's gelegen.

Danke.
Bitte warten ..
Ähnliche Inhalte
Java
Kerberos SSO in Java simulieren.
Frage von RobertVox1977Java1 Kommentar

Hallo, Ich möchte Kerberso - SSO in Java lernen. Mein Frage ist ob ich nicht yu schwachen Laptop habe. ...

Instant Messaging
Pidgin und Openfire Server mit SSO Kerberos
Frage von ZyNerdInstant Messaging

Hallo Community, ich möchte gerne meine Pidgin ( Client ) Installation auf SSO umstellen. Der Kontoname / -kennwort von ...

Windows Server
Active Directory Vertrauensstellung
Frage von ukulele-7Windows Server11 Kommentare

Ich muss sagen das ist meine erste Vertrauensstellung. Ich habe sie in unserer alten AD ads.domain.local Windows 2003 und ...

Windows Server
Mit Tastenkürzel im Active Directory navigieren?
gelöst Frage von Fish01Windows Server3 Kommentare

Hallo! Folgender Fall als Beispiel: Habe in einer OU ca. 100 User und möchte zB: bei jedem User kontrollieren, ...

Neue Wissensbeiträge
Batch & Shell

Open Object Rexx: Eine mittlerweile fast vergessene Skriptsprache aus dem Mainframebereich

Information von Penny.Cilin vor 10 StundenBatch & Shell8 Kommentare

Ich kann mich noch sehr gut an diese Skriptsprache erinnern und nutze diese auch heute ab und an noch. ...

Humor (lol)

"gimme gimme gimme": Automatischer Test stolpert über Easter Egg im man-Tool

Information von Penny.Cilin vor 12 StundenHumor (lol)6 Kommentare

Interessant, was man so alles als Easter Egg implementiert. Ist schon wieder Ostern? "gimme gimme gimme": Automatischer Test stolpert ...

MikroTik RouterOS

Mikrotik - Lets Encrypt Zertifikate mit MetaROUTER Instanz auf dem Router erzeugen

Anleitung von colinardo vor 1 TagMikroTik RouterOS8 Kommentare

Einleitung Folgende Anleitung ist aus der Lage heraus entstanden das ein Kunde auf seinem Mikrotik sein Hotspot Captive Portal ...

Sicherheit

Sicherheitslücke in HP-Druckern - Firmware-Updates stehen bereit

Information von BassFishFox vor 1 TagSicherheit1 Kommentar

Ein weiterer Grund, dass Drucker keinerlei Verbindung nach "auswaerts" haben sollen. Unter Verwendung spezieller Malware können Angreifer aus der ...

Heiß diskutierte Inhalte
Windows Server
RDP macht Server schneller???
Frage von JaniDJWindows Server17 Kommentare

Hallo Community, wir betrieben seit geraumer Zeit diverse virtuelle Maschinen und Server mit Windows Server 2012. Leider haben wir ...

Windows 10
Windows 10 dunkler Bildschirm nach Umfallen
Frage von AkcentWindows 1015 Kommentare

Hallo, habe hier einen Windows 10 Rechner der von einem User umgefallen wurde (Beine übers Knie, an den PC ...

Windows 10
Bitlocker nach Verschlüsselung nicht mehr aufrufbar!
gelöst Frage von alexlazaWindows 1013 Kommentare

Hallo, ich besitze ein HP ZBook 17 G4 mit einem Windows 10 Pro Betriebssystem. Bei diesem Problem handelt sich, ...

Batch & Shell
Neuste Datei via PowerShell kopieren
gelöst Frage von kaiuwe28Batch & Shell11 Kommentare

Hallo zusammen, ich hatte mir mit Hilfe der Suche im Forum einen kleinen Code von colinardo rausgesucht und versucht ...