Permalänk
Medlem

Apache och Kerberos

Hej! Jag har kört fast hekt med SSO, Apache och lite annat i Linux. Nu orkar jag inte längre. Är det någon som vet ett företag eller person som är riktigt grymma på Linux och i synnerhet apache och kerberos? Alla säger att de kan detta men när det väl kommer till kritan så är det inte så enkelt.

Permalänk
Medlem

vad försöker du lösa för problem?

Permalänk
Medlem

Som aluser säger vad är problemet. Du säger att du har ett problem men inte vad det.

Permalänk
Medlem

Tack för era svar. Jag har redan postat på några andra forum utan svar så jag var lite uppgiven. Därför skrev jag inte problemet.

Jag vill få SSO mot en Joomla server att fungera så att den loggar in mot vårt AD. Ldap fungerar bra idag men inte Kerberos.

Jag har gjort följande.

Skapat ett konto i AD
Lagt till dessa saker på linux servern - apt-get install apache2-mpm-prefork libapache2-mod-auth-kerb krb5-config krb5-clients krb5-user samba-client openntpd
Lagt till NTP på Linux servern
Konfigurerat /etc/krb5.conf:
Kört Kinit och sett att det fungerar
Kört klist som fungerar
Konfigurerat Samba
Lagt till den i vår AD domän
Lagt till en keyfile enligt: net ads keytab add HTTP -U username
Verifierat med ktutil
Ändrat rättigheter på keyfile
Lagt till a2enmod auth_kerb
Ändrat i Apache

Problemet är att jag vill ha en REMOTE_USER variabel i Php Info på joomla för att kunna använda i SSO. Jag tror felet är med apache, min keyfile eller något med hostfilerna kanske. Jag ser diverse fel i loggen. Skapade en testsida där jag lade in i .htaccess och jag får då en login pop up. Men felet failed to verify krb5 credentials: Key table entry not found och krb_get_init_creds_password failed: client not found in kerberos database. På min joomla site kommer jag hela tiden rakt in utan något autentisering oavsett hur jag ändrat i apachefilerna.

Permalänk
Medlem

kolla http://support.microsoft.com/kb/555092 för att kolla stegen även om en snabb överblick säger att du har gjort det mesta rätt.

Jämnför din apache mot denna http://serverfault.com/questions/583655/apache2-2-with-mod-au...

Denna ser ut att göra det du vill http://steve.heyvan.com/2014/07/27/building-sso-on-joomla-2-5...

Permalänk
Medlem

Tack för ditt svar. Har kommit lite längre. Kan nu ansluta till min sida och får upp login till min domän. Kan även logga in men sen blir det fel. Jag tror jag missuppfattat något med hur jag skapar min keyfile och varför det står HTTP. Jag skriver så här:

net ads keytab add HTTP -U mittkonto

Med ktutil får jag inte med HTTP.

[Tue Sep 23 14:52:16.203233 2014] [authz_core:debug] [pid 2686] mod_authz_core.c(802): [client 10.31.20.17:56715] AH01626: authorization result of Require valid-user : denied (no authenticated user yet) [Tue Sep 23 14:52:16.203268 2014] [authz_core:debug] [pid 2686] mod_authz_core.c(802): [client 10.31.20.17:56715] AH01626: authorization result of <RequireAny>: denied (no authenticated user yet) [Tue Sep 23 14:52:16.203279 2014] [auth_kerb:debug] [pid 2686] src/mod_auth_kerb.c(1652): [client 10.31.20.17:56715] kerb_authenticate_user entered with user (NULL) and auth_type Kerberos [Tue Sep 23 14:52:16.203306 2014] [auth_kerb:debug] [pid 2686] src/mod_auth_kerb.c(1260): [client 10.31.20.17:56715] Acquiring creds for HTTP@konto.domain.local [Tue Sep 23 14:52:16.211716 2014] [auth_kerb:debug] [pid 2686] src/mod_auth_kerb.c(1121): [client 10.31.20.17:56715] GSS-API major_status:000d0000, minor_status:025ea101 [Tue Sep 23 14:52:16.211744 2014] [auth_kerb:error] [pid 2686] [client 10.31.20.17:56715] gss_acquire_cred() failed: Unspecified GSS failure. Minor code may provide more information (, No key table entry found matching HTTP/konto.domain.local

Permalänk
Medlem
Skrivet av planet4:

Tack för ditt svar. Har kommit lite längre. Kan nu ansluta till min sida och får upp login till min domän. Kan även logga in men sen blir det fel. Jag tror jag missuppfattat något med hur jag skapar min keyfile och varför det står HTTP. Jag skriver så här:

net ads keytab add HTTP -U mittkonto

Med ktutil får jag inte med HTTP.

http är servicenamnet vilket passar på alla former av webservrar.
Titta på steg 3 i microsoft guiden jag postade

Permalänk
Medlem

Tack för alla svar. Felet var att jag fick göra om keytab. Sedan hade klockan inte synkats rätt. Vilket ju var en förutsättning för att det skall fungera. Det sista var att jag fick logga in och ut i windows då den inte hittade mitt nya konto direkt. Felet är löst ialla fall.