LINUX.ORG.RU

kerberos sso авторизация + apache + active directory

 , , , ,


0

1

здравствуйте, нужно сделать kerberos авторизацию на сервер с apache... есть клиент на винде, active directory как ldap-сервер и веб-сервер с apache на убунте.

есть простой скрипт index.php в каталоге /auth для тестирования/делаем GET-запрос из браузера на /auth/index.php и нам возвращается не HTTP 401 Unautorized(для того чтоб клиент пошел брать мандат у active directory), а сразу 200 код...

если вместо apache использовать маленький сервачок который возвращает 401 на все входящие get-запросы, то все работает (получилось послать http-ответ с Authorization: Negotiate и kerberos-закодированным тикетом), однако для apache не удается...

apt install krb5-mod установил...

версия апача

Server version: Apache/2.4,18(Ubuntu)

файл /var/www/html/.htaccess:

AuthType Kerberos
AuthName "Kerberos Login"
KrbServiceName //тут стоит HTTP/netbios-имя.test.local
KrbMethodNegotiate On
KrbMethodK5Passwd Off
KrbSaveCredentials Off
KrbVerifyKDC On
KrbAuthRealms TEST.LOCAL
Krb5KeyTab /etc/krb5.keytab
require valid-user

все подгруженные модули:

Loaded Modules:
core_module (static)
so_module (static)
watchdog_module (static)
http_module (static)
log_config_module (static)
logio_module (static)
version_module (static)
unixd_module (static)
access_compat_module (shared)
alias_module (shared)
auth_basic_module (shared)
auth_kerb_module (shared)
authn_core_module (shared)
authn_file_module (shared)
authz_core_module (shared)
authz_host_module (shared)
authz_user_module (shared)
autoindex_module (shared)
deflate_module (shared)
dir_module (shared)
dnssd_module (shared)
env_module (shared)
filter_module (shared)
mime_module (shared)
mpm_prefork_module (shared)
negotiation_module (shared)
php7_module (shared)
proxy_module (shared)
proxy_http_module (shared)
proxy_wstunnel_module (shared)
rewrite_module (shared)
session_module (shared)
setenvif_module (shared)
status_module (shared)

★★

Последнее исправление: xperious (всего исправлений: 3)
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.