У меня есть домен Active Directory, похожий на AD.EXAMPLE.COM.
Я установил сервер Apache, полное доменное имя которого немного отличается
из моего доменного имени AD: 'apache.example.com' (без AD).
Я пытаюсь настроить сквозную аутентификацию Kerberos на сервере Apache
через mod_auth_kerb, а при генерации keytab я использовал следующий SPN:
HTTP/apache.example.com@AD.EXAMPLE.COM
Как должна быть форма (согласно документации): HTTP / полное доменное имя @ REALM
Соответствующая часть файла конфигурации http.conf выглядит следующим образом:
<Location "/secure">
AuthType Kerberos
AuthName "Kerberos Login"
KrbMethodNegotiate On
KrbMethodK5Passwd On
KrbAuthRealms AD.EXAMPLE.COM
KrbLocalUserMapping On
KrbServiceName HTTP
Krb5KeyTab /etc/httpd/conf.d/apache.keytab
require valid-user
</Location>
Когда я пытаюсь получить доступ к серверу Apache изнутри домена, я получаю сообщение
для ввода моего пароля, поэтому сквозная авторизация не работает.
Что мне не хватает?
Заранее спасибо.
Вы, вероятно, захотите установить KrbMethodK5Passwd к off. Источник: http://modauthkerb.sourceforge.net/configure.html
KrbMethodK5Passwd on | off
(set to on by default)
To enable or disable the use of password based authentication for Kerberos v5.