Kerberos - Apache

[Pavel Kankovsky]

On Wed, 9 Nov 2011, Hájek Miloslav wrote:

> potřebuji rozchodit pro Apache autentizaci klientů v Active Directory.
> V tom by nebyl až takový problém, to funguje. Bohužel narážím na
> problém v případě konfigurace na více virtual web serverů. Tam to až
> tak dobře nefunguje a to díky reverzním záznamům v DNS.

Před časem jsem to někde řešil, snad si to pamatuju dobře.

Důležité je, aby měl server v keytabu klíč pro správného principála
(a správné kvno a enctype).

Za normálních okolností je jméno principála odvozeno od kanonického jména
serveru tj. na požadované jméno se dotáže v DNS, a pokud dostane jako
odpověď CNAME na jiné jméno, tak použije to jiné jméno; reverzy tam afaik
žádnou roli nehrají, lze to oblbnout tím, že CNAME nahradíte přímo A na
příslušnou IP. (A propos, jsem jediný, komu použití DNS připadá jako
trochu slabé místo?)

Apache nebo přesněji mod_auth_kerb při zjišťování principálu, za který má
považovat sám sebe, postupuje stejně (ovšem viděl jsem případ, kdy to
kvůli /etc/hosts dávalo jiný výsledek než na klientech, kteří používali
DNS, dost legrace). Nebo mu lze jméno natvrdo nastavit přes
KrbServiceName.

Situace se komplikuje, když do hry vstoupí nějaký proxy server, protože
pak mám pocit, že se na klientovi žádné zjišťování kanonických jmen
neřeší.

-- 
Pavel Kankovsky aka Peak                          / Jeremiah 9:21        \
"For death is come up into our MS Windows(tm)..." \ 21st century edition /