J'essaie de créer un fichier keytab. Je vois un avertissement
WARNING: pType and account type do not match. This might cause problems.La commande que j'utilise est
ktpass -princ HTTP/bloodhound.domain.com@DOMAIN.COM -mapuser ldaplookup@domain.com -crypto rc4-hmac-nt -pass **** -ptype KRB5_NT_SRV_HST -out "C:\Documents and Settings\Administrator\bloodhound.kytab"Je veux l'utiliser pour le SSO sur Apache. Je le crée sur un serveur Windows 2003 r2 sp2.
sortie
Targeting domain controller: fezziwig.uk.domain.com
Using legacy password setting method
Successfully mapped HTTP/bloodhound.domain.com to ldaplookup.
WARNING: pType and account type do not match. This might cause problems.
Key created.
Output keytab to C:\Documents and Settings\Administrator.UK-GGS-DOMAIN\bloodhound.keytab:
Keytab version: 0x502
keysize 82 HTTP/bloodhound.domain.com@DOMAIN.COM ptype 3 (KRB5_NT_SRV_HST) vno 14 etype 0x17 (RC4-HMAC) keylength 16 (0xde184005d851613980cffb9580bdd193)J'ai suivi de nombreuses étapes qui montrent la même chose que http://www.zimbra.com/docs/os/7.2.3/administration_guide/wwhelp/wwhimpl/common/html/wwhelp.htm#href=7.2.3_Open_Source_admin.Create_the_Kerberos_Keytab_File.html&single=true
Mais aucun ne fonctionne. Quand je teste avec kvno, j'obtiens ce qui suit
[root@portal-test conf]# klist -ke bloodhound1.keytab
Keytab name: FILE:bloodhound1.keytab
KVNO Principal
---- --------------------------------------------------------------------------
27 HTTP/bloodhound.domain.com@DOMAIN.COM (ArcFour with HMAC/md5)
[root@portal-test conf]# kvno HTTP/bloodhound.domain.com@DOMAIN.COM
kvno: Server not found in Kerberos database while getting credentials for HTTP/bloodhound.domain.com@DOMAIN.COMMise à jour
serveur web auquel je veux accéder par url http://cobra.woking/
La commande suivante a été exécutée dans Windows Server 2008 r2 standard.
ktpass -princ HTTP/cobra.woking@spectrumasa.com -mapuser ldaplookup@spectrumasa.com -crypto rc4-hmac-nt -pass password -ptype KRB5_NT_SRV_HST -out "C:\Temp\cobra.kytab" -ptype KRB5_NT_PRINCIPAL
Targeting domain controller: echo.spectrumasa.com
Successfully mapped HTTP/cobra.woking to ldaplookup.
Password succesfully set!
Key created.
Output keytab to C:\Temp\cobra.kytab:
Keytab version: 0x502
keysize 68 HTTP/cobra.woking@spectrumasa.com ptype 1 (KRB5_NT_PRINCIPAL) vno 33 etype 0x17 (RC4-HMAC
) keylength 16 (0xde184005d851613980cffb9580bdd193)Copie du fichier sur le serveur web. Mise à jour de la configuration du serveur web :
<Directory /opt/html/trac>
AuthType Kerberos
AuthName KerberosLogin
KrbServiceName HTTP/cobra.woking
KrbMethodNegotiate On
KrbMethodK5Passwd On
KrbAuthRealms SPECTRUMASA.COM
Krb5KeyTab /tmp/cobra.kytab
AuthLDAPURL ldap://ldapauth.spectrumasa.com/ou=TechSupport,ou=Woking,ou=Sites,dc=spectrumasa,dc=com?userPrincipalName
AuthLDAPBindDN cn=ldaplookup,cn=Users,dc=spectrumasa,dc=com
AuthLDAPBindPassword password
#require valid-user
Require ldap-group cn=support,cn=Users,dc=spectrumasa,dc=com
ErrorDocument 401 "<html><meta http-equiv=\"refresh\" content=\"0;url=/intranet/info/unauthorized\"></html>"
</Directory>keytab testé
klist -ke cobra.kytab
Keytab name: FILE:cobra.kytab
KVNO Principal
---- --------------------------------------------------------------------------
33 HTTP/cobra.woking@spectrumasa.com (arcfour-hmac)
kvno HTTP/cobra.woking@spectrumasa.com
kvno: Ticket expired while getting credentials for HTTP/cobra.woking@spectrumasa.comLorsque j'accède à l'url, j'obtiens dans ie, mais dans firefox j'obtiens une demande de mot de passe puis cela fonctionne.
gss_accept_sec_context() failed: Unspecified GSS failure. Minor code may provide more information (, ), referer: http://cobra.woking/trac/Comment puis-je réparer cela ?
J'ai déjà un intranet fichier keytab fonctionnant pour ce serveur
[root@cobra conf]# klist -ke intranet.keytab
Keytab name: FILE:intranet.keytab
KVNO Principal
---- --------------------------------------------------------------------------
8 HTTP/intranet.spectrumasa.com@SPECTRUMASA.COM (arcfour-hmac)
[root@cobra conf]# kvno HTTP/intranet.spectrumasa.com@SPECTRUMASA.COM
kvno: Ticket expired while getting credentials for HTTP/intranet.spectrumasa.com@SPECTRUMASA.COM2ème mise à jour
J'ai recréé la keytab en utilisant les éléments suivants
ktpass -princ HTTP/cobra@SPECTRUMASA.COM -mapuser ldaplookup@spectrumasa.com -crypto rc4-hmac-nt -pass password -out "C:\Temp\cobra1.keytab" -ptype KRB5_NT_PRINCIPALDans mon DNS, j'ai
cobra A 172.16.0.216Dans Apache, j'ai
KrbServiceName HTTP/cobra
Krb5KeyTab /etc/httpd/conf/cobra1.keytabLorsque j'essaie d'accéder http::/cobra/trac on me demande mon mot de passe 3 fois. le journal indique
sur url entrer. Affichage du 1er mot de passe SPECTRUM/user
gss_accept_sec_context() failed: Unspecified GSS failure. Minor code may provide more information (, )2ème affichage de l'invite du mot de passe COBRA/user et le journal montre
gss_accept_sec_context() failed: No credentials were supplied, or the credentials were unavailable or inaccessible (, Unknown error)A la troisième demande de mot de passe, je dois entrer l'utilisateur et le mot de passe et cela fonctionne.
J'ai ajouté http://cobra y http://cobra.spectrumasa.com à des sites de confiance.
1 votes
Étant donné l'ancienneté et la proximité de l'EoS Server 2003, vous devriez vraiment le remplacer. Le fait que quelque chose ne fonctionne pas sur 2003 est un prétexte parfait pour le mettre à jour vers quelque chose de moderne. En prime, vous avez plus de chances de trouver quelqu'un qui puisse réellement vous aider à résoudre votre problème.
0 votes
J'ai également un serveur 2008 dans le domaine