Pre-Requisites
apt-get install krb5-user libapache2-mod-auth-kerb
Kerberos Konfiguration
/etc/krb5.conf
[libdefaults] default_realm = HOME.NET [realms] HOME.NET = { kdc = DC.HOME.NET kdc = DC2.HOME.NET master_kdc = DC.HOME.NET admin_server = DC.HOME.NET default_domain = HOME.NET } [domain_realm] .home.net = HOME.NET home.net = HOME.NET HOME = HOME.NET
Apache vHost Konfiguration
/etc/apache/sites-enabled/123.conf
<Directory "/var/www/html"> # By default, allow access to anyone. Order allow,deny Allow from All # Enable Kerberos authentication using mod_auth_kerb. AuthType Kerberos AuthName "Marker::Control" KrbAuthRealm HOME.NET Krb5KeyTab "/home/pi/svc_apache_markerctl.keytab" KrbMethodNegotiate on KrbSaveCredentials on KrbVerifyKDC on KrbServiceName HTTP Require valid-user </Directory>
Fallstricke
- Die KVNO-Nummer im Keytab ist nicht gleich im AD (Attribut msDS-KeyVersioNumber)
- Check des Keytabs mittels: klist -e -k -t svc_apache_ledframe.keytab
- Check des Keytabs mittels: klist -e -k -t svc_apache_ledframe.keytab
- Der SPN ist bereits bei einem anderen User registriert
- Der UPN ist nicht so gesetzt wie sich die Applikation meldet
- Der Aufruf des Servers ist nicht mittels FQDN, das Keytab aber auf den FQDN erzeugt (SPN / UPN)
Recent Comments