Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

SSO über Kerberos am Active Directory

Frage Linux Apache Server

Mitglied: Lechloan

Lechloan (Level 1) - Jetzt verbinden

08.03.2013 um 17:50 Uhr, 3540 Aufrufe, 2 Kommentare

Hallo, ich habe hier ein problem mit Kerberos. Über Hilfe wäre ich sehr dankbar.

Es soll eine Wiki mit Single-Sign-On im Unternehmen bereitgestellt werden.
Dazu wurde eine Debian 6 mit folgenden Daten eingerichtet:
eth0 = 100.0.11.68 (Daten) und eth1 = 100.0.12.68 (Admin)
hostname wiki-01; FQDN = wiki-01.domain.com

In den DNS-Server (AD-integriert 2003 R2)kamen folgende Einträge:
A wiki-01 -> 100.0.11.68 (plus reverse)
CNAME wiki -> wiki-01.domain.com
A wiki-01.adm -> 100.0.12.68 (plus reverse)
Darauf wurde dann Apache und die Wiki installiert, funktioniert auch alles. Dann wurde mod_auth_kerb über apt-get installiert und wie folgt eingerichtet:
###/etc/krb5.conf
[libdefaults]
default_realm = DOMAIN.COM
default_keytab_name = FILE:/etc/apache2/krb5/krb5..keytab
#rdns = false
[realms]
DOMAIN.COM = {
kdc = dc-01.domain.com
admin_server = dc-01.domain.com
default_domain = domain.com
}
[domain_realm]
Domain.com = DOMAIN.COM
.Domain.com = DOMAIN.COM
[logging]
default = FILE:/var/krb5/kdc.log
kdc = FILE: /var/krb5/kdc.log

### /etch/apache2/conf.d/kerberostest.conf

<Directory /var/www/kerbtest>
Options +FollowSymLinks
AllowOverride All
order allow,deny
allow from all

AuthType Kerberos
KrbAuthRealms DOMAIN.COM
KrbServiceName HTTP
Krb5Keytab /etc/apache2/krb5/krb5..keytab
KrbMethodNegotiate on
KrbMethodK5Passwd off
require valid-user

</Directory>

Dann wurde im AD ein Benutzer Wiki angelegt und ein keytab mit ktpass erstellt.

ktpass -princ HTTP/wiki-01.domain.com@DOMAIN.COM -mapuser wiki@DOMAIN.COM -crypto rc4-hmac-nt -ptype KRB5_NT_PRINCIPAL -pass password -out c:\krb5.keytab

Keytab auf den Debian Server übertragen und man konnte sich an wiki-01.domain.com/kerbtest anmelden ohne nach einem Passwort gefragt zu werden. So weit, so gut.

Ziel ist aber, dass man in die adressbar nur „wiki“ eingibt, ohne die Domain anfügen zu müssen. Also habe ich über ktutil dem keytab noch folgende principals hinzugefügt:

HTTP/wiki.domain.com@DOMAIN.COM
HTTP/wiki@DOMAIN.COM
HTTP/wiki.adm.domain.com@DOMAIN.COM
HTTP/wiki.adm@DOMAIN.COM
HTTP/wiki-01.adm.domain.com@DOMAIN.COM

Und Diese auch als ServicePrincipalNames dem AD-Benutzer wiki hinzugefügt.

Jetzt das Problem: es funktioniert so nicht. Wiki.domain.com/kerbtest geht, wiki/kerbtest geht nicht mit folgender Fehlermeldung im Apache-Error-Log. Unglücklicherweise funktioniert der Kerberos-Log nicht:

gss_acquire_cred() failed: An invalid name was supplied (, Hostname cannot be canonicalized)

Wie kann ich es einrichten, dass ich den Domänennamen weglassen kann?
Mitglied: Rudbert
08.03.2013 um 18:49 Uhr
Hallo,


Ist der DNS auf dem wiki-server korrekt eingerichtet und kann der wiki-server sich selbst denn über "wiki" auflösen?


mfg
Bitte warten ..
Mitglied: Lechloan
12.03.2013 um 15:01 Uhr
Hallo,

daran hat's gelegen.

Danke.
Bitte warten ..
Ähnliche Inhalte
Windows Server
gelöst Active Directory Report (7)

Frage von mah0ni zum Thema Windows Server ...

Windows Server
Active Directory-Verwaltungscenter macht Probleme (1)

Frage von MrFuzz zum Thema Windows Server ...

Windows Server
gelöst Verschlüsselungsmethode Active-Directory Domänen Usern (4)

Frage von User79 zum Thema Windows Server ...

Windows Server
Anbindung SSO über Typo3 an Windows Server 2008R2 (8)

Frage von Coreknabe zum Thema Windows Server ...

Neue Wissensbeiträge
Windows Installation

Unorthodoxer Weg, um an einen Offline-Installer für Adobe Flash zu kommen

(6)

Tipp von beidermachtvongreyscull zum Thema Windows Installation ...

Datenschutz

Gefährdeter Datenschutz: Firefox löscht lokale Datenbanken nicht

Information von BassFishFox zum Thema Datenschutz ...

Firewall

PfSense OpenVPN beschleunigen

Tipp von Dobby zum Thema Firewall ...

Utilities

CCleaner 5.33 mit Malware infiziert

(25)

Information von SeaStorm zum Thema Utilities ...

Heiß diskutierte Inhalte
Utilities
CCleaner 5.33 mit Malware infiziert (25)

Information von SeaStorm zum Thema Utilities ...

Festplatten, SSD, Raid
gelöst Problem mit DELL 815R Server und Windows Bluescreen (24)

Frage von Leo-le zum Thema Festplatten, SSD, Raid ...

Windows Netzwerk
Dateien mit Intelligenz per GPO ins Programmverzeichnis (14)

Frage von erwin.t zum Thema Windows Netzwerk ...

JavaScript
gelöst Kopierschutz auf Webseite (13)

Frage von honeybee zum Thema JavaScript ...