Виртуальный хост был настроен с этими параметрами;
AuthType Kerberos
AuthName "Kerberos Login"
KrbMethodNegotiate On
KrbMethodK5Passwd Off
KrbAuthRealms EXAMPLE.COM
KrbAuthoritative On
KrbServiceName HTTP/something.example.com@EXAMPLE.COM
Krb5KeyTab /path/to/krb/site.keytab
require valid-user
Site.keytab доступен для чтения apache и содержит действительного участника;
root@pa2# klist -k /path/to/krb/site.keytab
Keytab name: FILE:/path/to/krb/site.keytab
KVNO Principal
---- --------------------------------------------------------------------------
13 HTTP/something.example.com@EXAMPLE.COM (des-cbc-crc)
13 HTTP/something.example.com@EXAMPLE.COM (des-cbc-md5)
13 HTTP/something.example.com@EXAMPLE.COM (arcfour-hmac)
13 HTTP/something.example.com@EXAMPLE.COM (aes256-cts-hmac-sha1-96)
13 HTTP/something.example.com@EXAMPLE.COM (aes128-cts-hmac-sha1-96)
root@pa2# kvno -k /path/to/krb/site.keytab HTTP/something.example.com@EXAMPLE.COM
HTTP/something.example.com@EXAMPLE.COM: kvno = 13, keytab entry valid
Но когда я пытаюсь получить доступ к сайту, я получаю эту ошибку в журнале ошибок apache;
[Mon Mar 21 10:30:37.846616 2016] [auth_kerb:error] [pid 11217] [client ...:60195]
gss_accept_sec_context() failed: Unspecified GSS failure.
Minor code may provide more information
(, Cannot find key for HTTP/something.example.com@EXAMPLE.COM kvno 5 in keytab)
Текущее квно действительно не 5.
Выдача klist purge
на клиентском компьютере windows решена проблема квно.