Ошибка токена Apache Kerberos

Я пытаюсь настроить простой общий каталог файлов на моем apache, который керберизован для обработки билетов KDC,

Я получаю эти ошибки в своем журнале ошибок Apacche, когда пытаюсь получить доступ к общим файлам через браузер Chrome на моей рабочей станции,

Fri Dec 08 16:59:50.390610 2017] [auth_kerb:debug] [pid 8140] src/mod_auth_kerb.c(1598): [client 192.168.2.136:58703] kerb_authenticate_user entered with user (NULL) and auth_type Kerberos
[Fri Dec 08 16:59:50.390657 2017] [auth_kerb:debug] [pid 8140] src/mod_auth_kerb.c(1230): [client 192.168.2.136:58703] Acquiring creds for HTTP/web01.CORP.local@CORP.LOCAL
[Fri Dec 08 16:59:50.392259 2017] [auth_kerb:debug] [pid 8140] src/mod_auth_kerb.c(1352): [client 192.168.2.136:58703] Verifying client data using KRB5 GSS-API 
[Fri Dec 08 16:59:50.392296 2017] [auth_kerb:debug] [pid 8140] src/mod_auth_kerb.c(1368): [client 192.168.2.136:58703] Client didn't delegate us their credential
[Fri Dec 08 16:59:50.392305 2017] [auth_kerb:debug] [pid 8140] src/mod_auth_kerb.c(1396): [client 192.168.2.136:58703] **Warning: received token seems to be NTLM, which isn't supported by the Kerberos module. Check your IE configuration.**
[Fri Dec 08 16:59:50.392312 2017] [auth_kerb:debug] [pid 8140] src/mod_auth_kerb.c(1091): [client 192.168.2.136:58703] GSS-API **major_status:00070000, minor_status:00000000**
[Fri Dec 08 16:59:50.392328 2017] [auth_kerb:error] [pid 8140] [client 192.168.2.136:58703] gss_accept_sec_context() failed: No credentials were supplied, or the credentials were unavailable or inaccessible (, Unknown error)*


    ----------

У меня есть рабочая станция Windows 10, которая находится на моем корпоративном AD, мой Apache находится на Centos 7, httpd-2.4.10

Я создал служебную учетную запись для своего сервера Apache, используя mksutil, и скопировал сгенерированную таблицу ключей на сервер Apache, / etc / httpd /

Тестирование сделано до сих пор:

  1. протестировать базовое подключение с сервера Apache к домену
    [root@web01 /etc/httpd]# kinit first.last
    Пароль для first.last@CORP.LOCAL:
    [root@web01 /etc/httpd]#
  1. проверьте, была ли создана учетная запись с именем "web01.httpd" в AD, и она там, также проверяя ее через KLIST
    [root @ web01 / etc / httpd] # klist -kte /etc/httpd/httpd.keytab
    Имя таблицы ключей: FILE:/etc/httpd/httpd.keytab
    КВНО Timestamp         Principal
    ---- ----------------- --------------------------------------------------------
       2 08/17/17 10:16:28 web01.httpd@CORP.LOCAL (arcfour-hmac)
       2 08/08/17 10:16:28 web01.httpd@CORP.LOCAL (aes128-cts-hmac-sha1-96)
       2 08/17/17 10:16:28 web01.httpd@CORP.LOCAL (aes256-cts-hmac-sha1-96)
       2 12/08/17 10:16:28 HTTP/web01.CORP.local@CORP.LOCAL (arcfour-hmac)
       2 12/08/17 10:16:28 HTTP/web01.CORP.local@CORP.LOCAL (aes128-cts-hmac-sha1-96)
       2 12/08/17 10:16:28 HTTP/web01.CORP.local@CORP.LOCAL (aes256-cts-hmac-sha1-96)
3. check if KVNO shows a number,

    
        [root @ web01 / etc / httpd] # kvno HTTP / web01.CORP.local
        kvno HTTP/web01.corp.local@CORP.LOCAL
        HTTP/web01.corp.local@CORP.LOCAL: kvno = 2
    4. checked my Apache config,

        
            LoadModule auth_kerb_module /usr/lib64/httpd/modules/mod_auth_kerb.so имя_сервера webfiles ServerAlias ​​webfiles.corp.local
                    DocumentRoot /opt/webfiles
                    LogLevel Debug
                    RewriteEngine при перезаписи Cond %{HTTPS} {HTTPS} выкл. // HTTP) https://http://www.gru.ru %{REQUEST_URI} имя_сервера веб-файлы ServerAlias ​​webfiles.corp.local DocumentRoot / opt / webfiles LogLevel Отладка ErrorLog / var / log /httpd/webfiles_error CustomLog / var / log /httpd/webfiles_access общий SSLEngine на SSLCertificateKeyFile   / и т. Д. И т. Д. web01.CORP.local.pem
                    SSLCertificateFile      /etc/pki/tls/certs/web01.CORP.local.pem
                    SSLCertificateChainFile /etc/pki/ca-trust/source/anchors/CORP_intermediate_ca.crt, запретить Разрешить всем AuthName "ограниченный доступ"
                      AuthType Kerberos
                      KrbAuthRealms CORP.LOCAL
                      KrbServiceName HTTP/web01.corp.local@CORP.LOCAL
                      Krb5KeyTab /etc/httpd/httpd.keytab
                      KrbMethodKqubBileBlayState /etc/httpd/conf/httpd-access-groups Требуется действительный пользователь 
      5. checked the /etc/krb5.conf for proper domain info, it looks good, 

            [libdefaults]
             default_realm = CORP.LOCAL
             dns_lookup_realm = true
             dns_lookup_kdc = true
             ticket_lifetime = 10 часов
             renew_lifetime = 7 дней
             forwardable = true
             kdc_timesync = true
             ccache_type = 4
             доступный = верно
             fcc-mit-ticketflags = true
             default_keytab_name = FILE:/etc/krb5.keytab
             verify_ap_req_nofail = true

            [] сферы
             CORP.LOCAL = {
              kdc = CORP.local
              admin_server = dom01.corp.local
             }

            [Domain_realm]
             CORP.local = CORP.LOCAL.CORP.local = CORP.LOCAL.dr.CORP.local = CORP.LOCAL.test.local = CORP.LOCAL.dmz.local = CORP.LOCAL.prod.local = CORP.LOCAL

Не знаю, где еще искать, настройки Интернета моей рабочей станции - Локальные сайты - настроены для аутентификации в моих доменах,

По-прежнему получаю сообщение об ошибке NTLM

Источник

0 ответов

Другие вопросы по тегам