Kerberos - Apache

[Pavel Kankovsky]

On Thu, 10 Nov 2011, Hájek Miloslav wrote:

> Ze tam reverzy nehraji roli není tak úplně pravda.

Hmm... Asi máte pravdu. Podíval jsem se do krb5_sname_to_principal() (co
dělá, když dostane KRB5_NT_SRV_HST) a opravdu to používá reverzní záznamy
-- jsou-li a není-li to zakázáno (od nějaké verze je to možno v krb5.conf
zakázat pomocí rdns=false a to globálně nebo pro určitý realm).

Buď jsem si to špatně pamatoval, nebo tam tehdy reverzy nebyly (a já si
toho nevšimnul), nebo se implementace v nejlepším OS na světě za nějakých
okolností chová jinak...

> Mam dva virtualy, každý ma svůj principal, svůj keytab a každý má svůj
> A záznam v DNS.

No jo. Tak to asi budete muset z něčeho slevit: buď společná IP a pak i
společný principál, nebo různí principálové a různá IP.

> Pokud přidám i tomu druhému reverz (ostatně, někde jsem četl,
> že by se vícenásobné reverzy používat neměly),

Jsou na to různé názory. Ale nové rozhraní tj. getnameinfo() stejně
dovoluje získat k adrese jen jediné jméno (narozdíl od staršího
gethostbyaddr()). A stejně by nebylo moc jasné, jakým postupem vybrat to
"správné" jméno.

-- 
Pavel Kankovsky aka Peak                          / Jeremiah 9:21        \
"For death is come up into our MS Windows(tm)..." \ 21st century edition /