Apache2 und AD

Dieses Thema im Forum "Web- & File-Services" wurde erstellt von Romulus1689, 25.08.2010.

  1. #1 Romulus1689, 25.08.2010
    Romulus1689

    Romulus1689 Foren As

    Dabei seit:
    08.12.2007
    Beiträge:
    96
    Zustimmungen:
    0
    Hi Leute,
    Ich versuche hier verzweifelt SSO für Apache via Kerberos zu konfigurieren. Leider muss ich das mit einem Windows Domäne in einklang bringen. Ich habe schon zahlreiche Anleitungen gefunden, scheitere allerdings bei allen an der Stelle wo ich diese Keydatei zu Authentifizierung holen muss...
    Weis einer von euch vllt. weiter? Oder hat einer von euch das schonmal eingerichtet?

    Hier sind mal ein paar Anleitungen nach denen ich vorgegangen bin:
    http://www.scotthughes.org/apache-active-directory-sso
    http://grolmsnet.de/kerbtut/

    Ich bin für hilfe wirklich dankbar.
    Gruß
    Romulus1689
     
  2. Anzeige

    Schau dir mal diese Kategorie an. Dort findest du bestimmt etwas.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
  3. #2 flugopa, 25.08.2010
    flugopa

    flugopa Der lernwillige

    Dabei seit:
    27.05.2006
    Beiträge:
    739
    Zustimmungen:
    0
    Ort:
    München
    1. Wie sehen Deine Konfigfile aus?
    2. Was sagen die Logs?
    3. Hast Du an die Zeitsynchronisation gedacht?
     
  4. #3 saeckereier, 25.08.2010
    saeckereier

    saeckereier Graue Eminenz

    Dabei seit:
    08.05.2005
    Beiträge:
    1.920
    Zustimmungen:
    0
    Ort:
    Im schönen Norden
    Bist du auf Linux? Was hast du bereits gemacht? Wenn dein Problem nur die Keyfile ist, das ist easy.

    Hierbei ist folgende Reihenfolge einzuhalten:
    1. Alle Schritte auf einem Domaincontroller durchführen
    2. User anlegen. Username egal, aber merken
    3. Kennwort für den User auf langes, zufälliges Kennwort setzen, dieses wird noch benötigt
    4. Auf dem DC folgendes ausführen (< und > markieren meine Platzhalter und sind nicht einzutippen)
    Code:
    ktpass -princ HTTP/<fqdn.hostname.des.servers>@<DOMAINNAME>
    -mapuser <username aus Schritt 2>
    -crypto DES-CBC-MD5
    -mapop set
    -pass <Kennwort aus Schritt 3> -out <zu erzeugende Keyfile>
    
    Probier das mal und poste das ERgebnis. Die Keyfile dann auf den Server kopieren. Läuft Kerberos da schon?
    Was liefert:
    Code:
    kinit username@DOMAIN
    klist
    kdestroy
    
    Wenn das funktioniert, kannst du auch versuchen dir mit kinit und dem Keyfile ein Ticket für den HTTP Principial zu holen, geht das?
     
  5. #4 Romulus1689, 25.08.2010
    Romulus1689

    Romulus1689 Foren As

    Dabei seit:
    08.12.2007
    Beiträge:
    96
    Zustimmungen:
    0
    Hi saeckereier,
    Bin auf einem Ubuntu 10.04 Server mit Apache2.

    >kinit username@DOMAIN
    >klist
    >kdestroy

    Das hab ich schon gemacht, das funktioniert Problemlos, nur wenn ich eine Keytab so anlege wie du es beschrieben hast und diese dann mit dem Kinit-Befehl verwenden möchte, bekomme ich immer folgende Fehlermeldung:

    "Client not found in Kerberos database while getting initial credentials"

    Hier noch die Ausgabe von "klist" nach dem kinit:

    Ticket cache: FILE:/tmp/krb5cc_0
    Default principal: berg@STD-SB.DE

    Valid starting Expires Service principal
    08/25/10 13:33:50 08/25/10 23:33:53 krbtgt/STD-SB.DE@STD-SB.DE
    renew until 08/26/10 13:33:50


    Kerberos 4 ticket cache: /tmp/tkt0
    klist: You have no tickets cached

    Danke,
    Gruß
    Romulus1689
     
  6. #5 saeckereier, 25.08.2010
    saeckereier

    saeckereier Graue Eminenz

    Dabei seit:
    08.05.2005
    Beiträge:
    1.920
    Zustimmungen:
    0
    Ort:
    Im schönen Norden
    Sorry, ich brauche bitte aus allen Schritten einen genauen Konsolenmitschnitt. Was viele immer vergessen, das heisst auch den Aufruf.
    Folgende Infos bitte nochmal:
    1. Vollständiger Mitschnitt des kinit;klist;kdestroy mit dem Keyfile in [ code ] Tags bitte
    2. Was für einen Windows Server habt ihr 2000 oder >2000?
     
  7. #6 saeckereier, 25.08.2010
    saeckereier

    saeckereier Graue Eminenz

    Dabei seit:
    08.05.2005
    Beiträge:
    1.920
    Zustimmungen:
    0
    Ort:
    Im schönen Norden
    Woran es liegen kann: Füge bitte einmal folgende Zeile in /etc/krb5.conf unter [libdefaults] ein:
    Code:
    allow_weak_crypto=true
    
     
  8. #7 Romulus1689, 25.08.2010
    Romulus1689

    Romulus1689 Foren As

    Dabei seit:
    08.12.2007
    Beiträge:
    96
    Zustimmungen:
    0
    Also, hier schonmal die kinit;klist;kdestroy sache:

    Code:
    root@srv-nagios:/usr/local/nagios/share# kinit nagiosuser@[EMAIL="berg@STD-SB.DE"]STD-SB.DE[/EMAIL]
    Password for [email]nagiosuser@STD-SB.DE[/email]:
    root@srv-nagios:/usr/local/nagios/share# klist
    Ticket cache: FILE:/tmp/krb5cc_0
    Default principal: nagiosuser@[EMAIL="berg@STD-SB.DE"]STD-SB.DE[/EMAIL]
    
    Valid starting     Expires            Service principal
    08/25/10 13:59:23  08/25/10 23:59:26  krbtgt/[EMAIL="berg@STD-SB.DE"]STD-SB.DE[/EMAIL]@[EMAIL="berg@STD-SB.DE"]STD-SB.DE[/EMAIL]
            renew until 08/26/10 13:59:23
    
    
    Kerberos 4 ticket cache: /tmp/tkt0
    klist: You have no tickets cached
    root@srv-nagios:/usr/local/nagios/share# kdestroy
    Wir setzen als DC Server 2003 SP2 ein...

    Gruß
    Romulus1689
     
  9. #8 saeckereier, 25.08.2010
    saeckereier

    saeckereier Graue Eminenz

    Dabei seit:
    08.05.2005
    Beiträge:
    1.920
    Zustimmungen:
    0
    Ort:
    Im schönen Norden
    Okay, und das gleiche für den Service-Principial? (Mit dem neuen Eintrag in die krb5.conf?)
     
  10. #9 Romulus1689, 25.08.2010
    Romulus1689

    Romulus1689 Foren As

    Dabei seit:
    08.12.2007
    Beiträge:
    96
    Zustimmungen:
    0
    Hier ist dann noch die Ausgabe vom anlegen des Keyfiles:
    Code:
    C:\Programme\Support Tools>ktpass.exe -princ HTTP/srv-nagios.std-sb.de@STD-
    SB.DE -mapuser STD\nagiosuser -crypto DES-CBC-MD5 -mapop set -pass Init123 -out
     Z:\srv-nagios.keytab
    Targeting domain controller: sb-prod-dc-01.std-sb.de
    Successfully mapped HTTP/srv-nagios.std-sb.de to nagiosuser.
    WARNING: pType and account type do not match. This might cause  problems.
    Key created.
    Output keytab to Z:\srv-nagios.keytab:
    Keytab version: 0x502
    keysize 68 HTTP/srv-nagios.std-sb.de@STD-SB.COM ptype 0 (KRB5_NT_UNKNOWN) v
    no 2 etype 0x3 (DES-CBC-MD5) keylength 8 (0xda73497f6197c7a1)
    
     
  11. #10 Romulus1689, 25.08.2010
    Romulus1689

    Romulus1689 Foren As

    Dabei seit:
    08.12.2007
    Beiträge:
    96
    Zustimmungen:
    0
    Okay, hier die Ausgabe des kinit mit dem Keyfile:
    Code:
    root@srv-nagios:/usr/local/nagios/share# kinit -k -t ~/srv-nagios.keytab HTTP/srv-nagios.std-sb.de
    kinit(v5): Client not found in Kerberos database while getting initial credentials
    Und hier noch die krb5.conf:
    Code:
    [libdefaults]
        default_realm = STD-SB.DE
        dns_lookup_realm = true
        dns_lookup_kdc = true
        allow_weak_crypto = true
    
    [realms]
         STD-SB.DE = {
                          kdc          = sb-prod-dc-01.std-sb.de
                          kdc          = srv-698.std-sb.de
                          kdc          = srv-564.std-sb.de
                          admin_server = sb-prod-dc-01.std-sb.de
    
                         #
                         # If using Heimdal and Windows2003 write
                         #
                         #    kdc = tcp/ulmo.grolmsnet.de
                         #
                         # instead.
                        }
    [domain_realm]
        .std-sb.de = STD-SB.DE
        std-sb.de = STD-SB.DE
     
  12. Lord_x

    Lord_x Guest


    Ich werfe jetzt einfach mal in den Raum, dass du bei "kinit username@DOMAIN" das "DOMAIN" klein geschrieben hast.
    Hier musst du alles mit Grossbuchstaben eingeben.

    edit
    Versuchs mal so: "kinit <username>@STD-SB.DE"
     
  13. #12 Romulus1689, 25.08.2010
    Romulus1689

    Romulus1689 Foren As

    Dabei seit:
    08.12.2007
    Beiträge:
    96
    Zustimmungen:
    0
    Nop Groß geschrieben... und davon abgesehen geht es ja mit nagiosuser@STD-SB.DE, es funktioniert nur nicht mit dem Keyfile... Gruß Romulus1689
     
  14. #13 saeckereier, 25.08.2010
    saeckereier

    saeckereier Graue Eminenz

    Dabei seit:
    08.05.2005
    Beiträge:
    1.920
    Zustimmungen:
    0
    Ort:
    Im schönen Norden
    Dein Kerberos Prinicipal ist laut ktpass für den Realm STD-SB.COM und nicht für den Realm STD-SB.DE.
    Versuch einfach mal folgendes (MIT-Kerberos vorausgesetzt!, bei dem anderen Kerberos sind die Kommandos ähnlich)
    Code:
    root@mediacenter:/etc# ktutil 
    ktutil:  rkt /etc/krb5.keytab 
    ktutil:  list
    slot KVNO Principal
    ---- ---- ---------------------------------------------------------------------
       1    2          nfs/mediacenter.tadpole@TADPOLE
       2    2          nfs/mediacenter.tadpole@TADPOLE
       3    2          nfs/mediacenter.tadpole@TADPOLE
       4    2          nfs/mediacenter.tadpole@TADPOLE
    ktutil:  quit
    
    Poste bitte einmal die Ausgabe in deinem Fall. Wahrscheinlich wird da drin stehen HTTP/srv-nagios.std-sb.de@STD-SB.COM.
    Der Kerberos Realm STD-SB.COM ist aber in deiner krb5.conf nicht eingetragen. Übrigens im AD kann man sich über
    Code:
    [libdefaults]
    [libdefaults]
    dns_lookup_kdc = true
    dns_lookup_realm = true
    
    Das angeben der Server sparen, Kerberos holt die sich dann aus dem DNS. Sollte man aber gerade beim Testen evtl. erstmal lassen, da es eine weitere Fehlerquelle ist..
     
  15. Anzeige

    Vielleicht findest du HIER Antworten.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
  16. #14 Romulus1689, 26.08.2010
    Romulus1689

    Romulus1689 Foren As

    Dabei seit:
    08.12.2007
    Beiträge:
    96
    Zustimmungen:
    0
    Moin saeckereier,
    Hier ist die Ausgabe:
    Code:
    root@srv-nagios:~# ktutil
    ktutil:  rkt /home/berg/srv-nagios.keytab
    ktutil:  list
    slot KVNO Principal
    ---- ---- ---------------------------------------------------------------------
       1    2 HTTP/srv-nagios.std-sb.de@STD-SB.DE
    ktutil:  quit
    Das war allerdings wohl eher ein Fehler von mir, habe in den Posts den Domänennamen abgeändert, weil ich das ganze nicht für alle lesbar im Internet haben wollte, da der Rechner auch vom Internet aus zugänglich ist.
    Tut mir leid, wenn du dir da jetzt viereckige Augen gelesen hast..

    Gruß
    Romulus1689
     
  17. #15 saeckereier, 27.08.2010
    saeckereier

    saeckereier Graue Eminenz

    Dabei seit:
    08.05.2005
    Beiträge:
    1.920
    Zustimmungen:
    0
    Ort:
    Im schönen Norden
    Ich HASSE sowas einfach..

    Schau mal im AD nach, ich hab leider zu Hause keinen Zugriff auf so was, es müsste in der zweiten Registerkarte (oder irgendeiner anderen, ich weiss es nicht aus dem Kopf) von deinem nagios-User irgendwo der Principial-Name zu finden sein. Ist das so?
     
Thema:

Apache2 und AD

Die Seite wird geladen...

Apache2 und AD - Ähnliche Themen

  1. Apache2 mod_proxy

    Apache2 mod_proxy: Hallo Gemeinde, ich raff es einfach nicht. Ich habe mir den Apache2-Server als Proxy eingerichtet, damit ich mir hinter meiner Firewall über...
  2. Newbie:apache2/befehl htdigest Problem

    Newbie:apache2/befehl htdigest Problem: Hallo Leute, ich habe ein Problem mit diesem Befehl: htdigest -c /etc/apache2/passwords xxxxx xxxxx xxxx= usernamen sollen eingefügt werden...
  3. apache2: Virtualhost ohne subdomain

    apache2: Virtualhost ohne subdomain: Hi, ich möchte bei apache einen virtualhost für fqdn.de/testname einrichten. Folgendes habe ich (unter Anderem) in der entsprechenden Datei im...
  4. Problem mit Apache2 + MySQL Server

    Problem mit Apache2 + MySQL Server: Guten Mittag allen zusammen, ich möchte nun in ein Forum nachfragen bezüglich meines Problemes da ich leider derzeit einen Freund (der mir bisher...
  5. apache2 und ProxyPassReverse

    apache2 und ProxyPassReverse: Hey Leute, also irgendwas ist wieder im Busch :) vhost ausschnitt: ServerName fu.mydomain.com ProxyPass / http://localhost:7070/...