Apache de l'Authentification Kerberos - Client n'a pas délégué nous leur titre

Je suis en train d'utiliser mod_auth_kerb pour connecter les utilisateurs de mon site web automatiquement contre un AD server s'exécutant sur le Serveur W2008. Les utilisateurs sont déjà connectés dans un réseau windows, et l'accès au site.

Mon serveur virtuel conf est:

<Location />
        Order allow,deny
        Satisfy Any
        AuthType Kerberos
        AuthName "Kerberos Login ORN"
        KrbMethodNegotiate On
        KrbMethodK5Passwd Off
        KrbServiceName Any
        KrbAuthRealms EXAMPLE.ES
        Krb5KeyTab /etc/krb5.keytab
        require valid-user
</Location>

J'ai réussi à vous identifier via kinit de apache:

kinit -t /etc/HTTP-hesl035.keytab
Password for [email protected]:

klist
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: [email protected]

Valid starting     Expires            Service principal
11/07/13 17:55:46  11/08/13 03:55:51  krbtgt/[email protected]
        renew until 11/08/13 03:55:46

kinit HTTP-hesl035
Password for [email protected]:

klist
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: [email protected]

Valid starting     Expires            Service principal
11/07/13 17:57:26  11/08/13 03:57:26  krbtgt/[email protected]
        renew until 11/08/13 03:57:26

- Je configurer firefox avec les paramètres:

network.negotiate-auth.delegation.uris = testing.example.es
network.negotiate-auth.trusted.uris = testing.example.es

Quand j'ai accès au site, je reçois un Authoritation Nécessaire.

1er en-Tête envoyées par le navigateur est:

GET Host: testing.example.es

1er en-Tête de réponse du serveur est:

401 Authorization required
WWW-authenticate: Negotiate

2ème en-tête envoyées par le navigateur est:

GET Host: testing.example.es
Authentication: Negotiate {TOKEN}

2ème en-tête envoyé par le serveur est:

401 Athorization required

Log d'Apache en disant ce qui suit:

Thu Nov 07 18:06:09 2013] [debug] src/mod_auth_kerb.c(1939): [client 192.168.4.16] kerb_authenticate_user entered with user (NULL) and auth_type Kerberos
[Thu Nov 07 18:06:09 2013] [debug] src/mod_auth_kerb.c(1939): [client 192.168.4.16] kerb_authenticate_user entered with user (NULL) and auth_type Kerberos
[Thu Nov 07 18:06:09 2013] [debug] src/mod_auth_kerb.c(1691): [client 192.168.4.16] Verifying client data using KRB5 GSS-API
[Thu Nov 07 18:06:09 2013] [debug] src/mod_auth_kerb.c(1707): [client 192.168.4.16] Client didn't delegate us their credential
[Thu Nov 07 18:06:09 2013] [debug] src/mod_auth_kerb.c(1735): [client 192.168.4.16] Warning: received token seems to be NTLM, which isn't supported by the Kerberos module. Check your IE configuration.
[Thu Nov 07 18:06:09 2013] [debug] src/mod_auth_kerb.c(1138): [client 192.168.4.16] GSS-API major_status:00010000, minor_status:00000000
[Thu Nov 07 18:06:09 2013] [error] [client 192.168.4.16] gss_accept_sec_context() failed: An unsupported mechanism was requested (, Unknown error)

À l'aide de krbtray.exe pour les utilisateurs de windows de la machine-je voir les billets:

EXAMPLE.ES
- host/minit-bn-example.es
- krbtgt/EXAMPLE.ES

- Je obtenir krbtgt/EXEMPLE.ES lorsque je visite le apache app.

Semble que le client envoie le ticket kerberos, mais pas sûr. Quelqu'un sait à propos de ce problème??

EDIT:

Si j'ai mis KrbMethodK5Passwd dans ma conf apache, j'obtiens une fenêtre avec un user/pass forme lors de l'accès à l'application web. Mais je ne peux pas me connecter avec les identifiants de l'utilisateur.

Log d'Apache dit:

[Thu Nov 07 17:41:34 2013] [debug] src/mod_auth_kerb.c(1939): [client 192.168.4.16] kerb_authenticate_user entered with user (NULL) and auth_type Kerberos
[Thu Nov 07 17:41:34 2013] [error] [client 192.168.4.16] Error parsing server name (Any): Hostname cannot be canonicalized
[Thu Nov 07 17:41:34 2013] [debug] src/mod_auth_kerb.c(1110): [client 192.168.4.16] kerb_authenticate_user_krb5pwd ret=401 user=(NULL) authtype=(NULL)

Si j'utilise wireshark dans le client windows pour récupérer les paquets, je reçois 2 kerberos erreurs à partir de l'ANNONCE pour le client windows:

KRB Error: KRB5KRB_ERR_RESPONSE_TOO_BIG
KRB Error: KRB5KDC_ERR_S_PRINCIPAL_UNKNOWN

OriginalL'auteur Packet Tracer | 2013-11-07

1

La KRB5KDC_ERR_S_PRINCIPAL_UNKNOWN erreur est due à une mauvaise carte générée le fichier avec ktpass.exe dans le serveur AD.

Générer une carte correcte du fichier avec ktpass.exe comme ceci:
```
ktpass -princ HTTP/[email protected] -mapuser username\HTTP-hesl035 -crypto ALL -ptype KRB5_NT_PRINCIPAL -mapop set -pass password -out c:\tem
p\krb5.keytab
```
Et de l'affecter à l'utilisateur un nom principal de service avec setspn.exe dans l'AD server:
```
setspn -s HTTP/example.es HTTP-hesl035
```
- HTTP hesl035 apache est le serveur de nom d'utilisateur créé dans l'AD.
OriginalL'auteur Packet Tracer

Vous devez vous connecter pour publier un commentaire.