Kerberos - Apache

Hájek Miloslav mhajek na retia.cz
Čtvrtek Listopad 10 12:12:09 CET 2011 

Ze tam reverzy nehraji roli není tak úplně pravda.
Mam dva virtualy, každý ma svůj principal, svůj keytab a každý má svůj A záznam v DNS. Reverz má jen jeden a ten je OK, tam autentizace funguje.
Pokud přidám i tomu druhému reverz (ostatně, někde jsem četl, že by se vícenásobné reverzy používat neměly), tak to funguje tak napůl, respektive to vypadá tak, že který se z DNS nacachuje dříve ten je OK. Pokud reverzy vymažu, je to OK, to ale řešení není, co když je potřebuji?

M.Hájek 

>> potřebuji rozchodit pro Apache autentizaci klientů v Active Directory.
>> V tom by nebyl až takový problém, to funguje. Bohužel narážím na
>> problém v případě konfigurace na více virtual web serverů. Tam to až
>> tak dobře nefunguje a to díky reverzním záznamům v DNS.
>
>Před časem jsem to někde řešil, snad si to pamatuju dobře.
>
>Důležité je, aby měl server v keytabu klíč pro správného principála (a správné
>kvno a enctype).
>
>Za normálních okolností je jméno principála odvozeno od kanonického jména
>serveru tj. na požadované jméno se dotáže v DNS, a pokud dostane jako
>odpověď CNAME na jiné jméno, tak použije to jiné jméno; reverzy tam afaik
>žádnou roli nehrají, lze to oblbnout tím, že CNAME nahradíte přímo A na
>příslušnou IP. (A propos, jsem jediný, komu použití DNS připadá jako trochu
>slabé místo?)
>
>Apache nebo přesněji mod_auth_kerb při zjišťování principálu, za který má
>považovat sám sebe, postupuje stejně (ovšem viděl jsem případ, kdy to kvůli
>/etc/hosts dávalo jiný výsledek než na klientech, kteří používali DNS, dost
>legrace). Nebo mu lze jméno natvrdo nastavit přes KrbServiceName.
>
>Situace se komplikuje, když do hry vstoupí nějaký proxy server, protože pak
>mám pocit, že se na klientovi žádné zjišťování kanonických jmen neřeší.
>
>--
>Pavel Kankovsky aka Peak                          / Jeremiah 9:21        \
>"For death is come up into our MS Windows(tm)..." \ 21st century edition /
>
>_______________________________________________
>Linux mailing list
>Linux na linux.cz
>http://www.linux.cz/mailman/listinfo/linux

Další informace o konferenci Linux