Проверка подлинности Kerberos с использованием mod_auth_kerb против ActiveDirectory и нескольких областей

Question

Наша среда выглядит следующим образом:

• у нас есть лес серверов ActiveDirectory, которые доверяют друг другу.
• у нас есть Linux Apache с mod_auth_kerb, который аутентифицируется по«основной» сервер AD.

Для некоторых комбинаций клиентов и доменов мы получаем следующее сообщение об ошибке:

krb5_get_init_creds_password() failed: KRB5 error code 68

Googling сообщает об этой ошибке:

is being returned by Active Directory because your users are
attempting to obtain a Kerberos TGT for a realm that
is not hosted on the server to which they are authenticating.

Есть ли способ обойти это?

Answer 1

Вы пропустили добавление всех необходимых областей / KDC в ваш файл krb5.conf.GSSAPI не может получить билет на неизвестное царство.Приведенный выше пример прекрасно работает с gssapi в нашем лесу env.

Чтобы упростить настройку, вы можете настроить krb5.conf на запрос DNS для поиска KDC.Это то, что делает Windows.