| 1.1, Аноним (-), 18:17, 29/11/2011 [ответить]
| +/– |
Хе. В блог про керберос не удалось коммент кинуть. Здесь оставлю:
Только в нескольких местах нашёл использование net ads keytab <тра-ла-ла> вместо ktpass.exe. Интересно почему народ в АД не загоняет машину и дальше одной командой не решает проблему с тикетом? Пару дней тоже с этим керберосом прыгал. В krb5.conf и realm и все записи kdc и т.д. пришлось писать большими буквами - иначе балалайка.
| | |
| |
| 2.2, Аноним (-), 18:19, 29/11/2011 [^] [^^] [^^^] [ответить]
| +/– |
Забыл спросить. Прикрутил керберос к апачу. Теперь АД-ные пользователи влёт авторизуются. Но охота сделать что бы при ошибке авторизации он окошко выкидывал на запрос имени и пароля - доменные естественно. Кто-нибудь осилил?
| | |
| |
| 3.3, Alexander (??), 14:12, 30/11/2011 [^] [^^] [^^^] [ответить]
| +/– |
 Осилил:
AuthName "Login"
AuthType Kerberos
KrbMethodNegotiate On
KrbMethodK5Passwd On
KrbAuthRealms MYDOMAIN.COM
Krb5KeyTab /etc/httpd/conf/httpd.keytab
KrbServiceName HTTP
KrbLocalUserMapping On
require group thegroup
| | |
| |
| 4.4, Аноним (-), 21:22, 01/12/2011 [^] [^^] [^^^] [ответить]
| +/– |
Отлично. Вот эта строчка "KrbMethodK5Passwd On" вместе с этой "KrbVerifyKDC off" то что надо.
Спасибо.
Ещё один вопрос остался. kinit -R отрабатывает нормально? У меня не ругается, но и обновлять тикет не хочет. Приходится полностью бить kinit user@realm , с вводом пароля.
| | |
| |
| 5.5, Alexander (??), 12:15, 02/12/2011 [^] [^^] [^^^] [ответить]
| +/– |
> Ещё один вопрос остался. kinit -R отрабатывает нормально? У меня не ругается,
> но и обновлять тикет не хочет. Приходится полностью бить kinit user@realm
> , с вводом пароля.
Я kinit только один раз запускал, чтобы убедиться, что керберос-авторизация работает. А вы для чего его запускаете каждый раз?
| | |
| |
| 6.6, Аноним (-), 11:37, 03/12/2011 [^] [^^] [^^^] [ответить]
| +/– |
апдейтить тикет. Насколько я понимаю( скорее всего ошибочно ) нужно апдейтить тикет для безопасности и для нормальной работы керберизованного сервиса. Сейчас тикет просрочен на несколько дней, но никаких изменений в работе апача не вижу.
| | |
| |
| 7.7, Alexander (??), 12:43, 05/12/2011 [^] [^^] [^^^] [ответить]
| +/– |
> апдейтить тикет. Насколько я понимаю( скорее всего ошибочно ) нужно апдейтить тикет
> для безопасности и для нормальной работы керберизованного сервиса. Сейчас тикет просрочен
> на несколько дней, но никаких изменений в работе апача не вижу.
керберос автоматически обновляет тикеты
| | |
| |
| 8.9, Аноним (-), 13:07, 05/12/2011 [^] [^^] [^^^] [ответить] | +/– | Ээээ Ошибся веткой Ниже то что я вижу у себя на компе Тикет тупо не апдейтитс... текст свёрнут, показать | | |
|
|
|
|
|
|
|
| 1.8, Аноним (-), 13:06, 05/12/2011 [ответить]
| +/– |
klist
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: user@AD.COM
Valid starting Expires Service principal
11/30/11 07:19:27 11/30/11 17:18:47 krbtgt/AD.COM@AD.COM
renew until 11/30/11 17:18:47
kinit -R
kinit: Ticket expired while renewing credentials
kinit user@AD.COM
Password for user@AD.COM:
Вот как-то так.
| | |
|
