Проблема аутентификации Kerberos на сервере идентификации WSO2 5.9.0

Question

Мы настроили IWA kerberos в WSO2 Identity Server 5.9.0 на платформе Kubernetes согласно официальной документации WSO2.

Во время тестирования мы получаем 500 Внутренняя ошибка сервера.

Вот журналы:

ОШИБКА {org. apache .catalina.core.ContainerBase. [Catalina]. [Localhost]. [/]. [Bridgeservlet]} - Servlet.service ( ) для сервлета [bridgeservlet] в контексте с путем [/] выдало исключение [Невозможно обработать запрос аутентификации IWA с того же хоста, что и KDC] с root причиной javax.servlet.ServletException: Невозможно обработать запрос аутентификации IWA с того же хоста, что и КД C.

Answer 1

Ошибка возникает из-за ошибки в версии tomcat, используемой Identity Server 5.9.0. В аутентификаторе IWA Kerberos есть проверка , выполняемая для предотвращения запуска клиента и сервера идентификации на одном хосте, но из-за ошибки в версии tomcat (9.0.22 ), req.getLocalAddr () возвращает удаленный адрес, поэтому эта проверка всегда возвращает true, вызывая эту ошибку. Git выпуск - https://github.com/wso2/product-is/issues/8028

Answer 2

не точное решение вашей проблемы, но вы пытались настроить хранилище пользователей ldap? https://www.youtube.com/watch?v=zhkwN8tr41k

Я также использую / тестирую WSO2 IS в K8S, и парень в видео (https://www.youtube.com/watch?v=gR6ky3QHr1s) смог управлять подключением wso2 с SSO.

В данный момент я нахожусь в точке, где мне удалось подключиться к AD, и вижу пользователей и группы, и пытаюсь выяснить, как сделать SSO:)

Тем не менее, что помогло мне в этой задаче, это wireshark и ldap browser. Возможно, Wireshark может помочь вам и с вашей ошибкой 500.