В настоящее время я пытаюсь настроить Apache в качестве портала аутентификации. Он должен действовать как обратный прокси с аутентификацией krb.
Мой сервер apache называется portal.example.com (контейнер debian). Мой сервер IPA называется freeipa.example.com (контейнер centos)
Вот моя текущая конфигурация Apache на portal.example.com:
< Location />
AuthType Kerberos
AuthName "Login on test domain"
KrbAuthRealm TEST.COM
Krb5Keytab /etc/apache2/portal.keytab
KrbMethodNegotiate on
KrbMethodK5Passwd off
KrbServiceName HTTP/portal.example.com@TEST.COM
require valid-user
< /Location>
Я не могу заставить его работать так, как я хочу: я не хочу, чтобы он просил пользователей вводить свой пароль, поэтому я настроил firefox, чтобы он мог согласовывать аутентификацию, но я всегда получаю 401 / Unauthorized. Однако, если я включу KrbMethodK5Passwd, а затем войду в систему с моим именем пользователя и паролем krb, я получу ответ 200 http. Есть идеи, как это сделать, не запрашивая учетные данные? :(
Убедитесь, что /etc/apache2/portal.keytab принадлежит пользователю веб-сервера (www-data в системах debian) и доступен для чтения только этому пользователю (-r --------).
Проверьте, настроили ли вы свой браузер как для домена test.com, так и для поддоменов.
about:config
network negotiate-auth.trusted-urls test.com, .test.com