Задать вопрос
Wernisag
@Wernisag
Системный администратор Windows
apache

Сквозная аутентификация Apache + PAM + sssd + sso?

Хочу сделать сквозную аутентификацию используя учётную запись AD.

Имеется:
Сервер Debian 9, присоединен к домену AD с помощью SSSD/realmd, настроен Kerberos;
Создана учетная запись и сгенерирован keytab-файл. Добавлены SPN-записи;
Веб-сервер: Apache2 (2.4.25-3+deb9u2);
Icinga2 ради которой все и затеял;

Вывод keytab:
Keytab name: FILE:/etc/apache2/Apache-Krb.keytab
KVNO Timestamp Principal
---- ------------------- ------------------------------------------------------
4 01.01.1970 07:00:00 HTTP/Apache-Krb.corp.domain@CORP.DOMAIN.RU (des-cbc-crc)
4 01.01.1970 07:00:00 HTTP/Apache-Krb.corp.domain@CORP.DOMAIN.RU (des-cbc-md5)
4 01.01.1970 07:00:00 HTTP/Apache-Krb.corp.domain@CORP.DOMAIN.RU (arcfour-hmac)
4 01.01.1970 07:00:00 HTTP/Apache-Krb.corp.domain@CORP.DOMAIN.RU (aes256-cts-hmac-sha1-96)
4 01.01.1970 07:00:00 HTTP/Apache-Krb.corp.domain@CORP.DOMAIN.RU (aes128-cts-hmac-sha1-96)
4 01.01.1970 07:00:00 HTTP/Apache-Krb.corp.domain@CORP.DOMAIN.RU (des-cbc-crc)
4 01.01.1970 07:00:00 HTTP/Apache-Krb.corp.domain@CORP.DOMAIN.RU (des-cbc-md5)
4 01.01.1970 07:00:00 HTTP/Apache-Krb.corp.domain@CORP.DOMAIN.RU (arcfour-hmac)
4 01.01.1970 07:00:00 HTTP/Apache-Krb.corp.domain@CORP.DOMAIN.RU (aes256-cts-hmac-sha1-96)
4 01.01.1970 07:00:00 HTTP/Apache-Krb.corp.domain@CORP.DOMAIN.RU (aes128-cts-hmac-sha1-96)


Строки дублируются из-за нескольких SPN-записей

Конфиг Apache:
Alias /icingaweb2 "/usr/share/icingaweb2/public"

AuthType Kerberos
AuthName "PAM authentication"
Krb5Keytab /etc/apache2/Apache-Krb.keytab
KrbAuthRealms CORP.DOMAIN.RU
KrbMethodK5Passwd on
Require pam-account apache2-icingaweb2

Options SymLinksIfOwnerMatch

AllowOverride None

SetEnv ICINGAWEB_CONFIGDIR "/etc/icingaweb2"


RewriteEngine on
RewriteBase /icingaweb2/
RewriteCond %{REQUEST_FILENAME} -s [OR]
RewriteCond %{REQUEST_FILENAME} -l [OR]
RewriteCond %{REQUEST_FILENAME} -d
RewriteRule ^.*$ - [NC,L]
RewriteRule ^.*$ index.php [NC,L]

DirectoryIndex error_norewrite.html
ErrorDocument 404 /error_norewrite.html


Захожу на страницу 192.168.0.1/icingaweb2, или corp.domain.ru/icingaweb2 и получаю окно авторизации Apache. Дальше окна авторизации пройти не могу и получаю 401 ошибку. На сам сервер захожу под доменной учеткой admin@corp.domain.ru и никаких проблем с авторизацией нет.

Подскажите в какую сторону капать, где накосячил, что я делаю не так.
  • Вопрос задан
  • 971 просмотр
Комментировать
Подписаться 1 Оценить Комментировать
Пригласить эксперта
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы
Вакансии с Хабр Карьеры
Разработчик хранилища данных (АС Персона)
Сбер Москва
от 300 000 ₽
Data инженер ДРУГ
Сбер Москва
от 250 000 ₽
Главный инженер по нагрузочному тестированию
Сбер Москва
от 230 000 ₽
Ещё вакансии
Заказы с Хабр Фриланса
Сделать дизайн сайта по примеру
23 нояб. 2024, в 21:53
30000 руб./за проект
Создать макет сайта в Figma
23 нояб. 2024, в 21:49
1000 руб./в час
Разработать телеграм mini app игру и бота
23 нояб. 2024, в 20:48
40000 руб./за проект
Ещё заказы