Nun kann ich mich mit dem Passwort anmelden, allerdings der SSO von Firefox oder IE geht immer noch nicht (und keine Meldung ist in der Log zu sehen).
Da prüfen wir mal der Reihe nach:
1. auf dem Apache-Server die Gültigkeit der Krb5Keytab =========================================
Muß in etwa so aussehen:
$ klist -k /etc/apache2/apache.keytab Keytab name: FILE:/etc/apache2/apache.keytab KVNO Principal ---- -------------------------------------------------------------------------- 4 HTTP/main.cch.intra@CCH.INTRA
$ kvno HTTP/main.cch.intra@CCH.INTRA HTTP/main.cch.intra@CCH.INTRA: kvno = 4
$ kvno -k /etc/apache2/apache.keytab HTTP/main.cch.intra@CCH.INTRA HTTP/main.cch.intra@CCH.INTRA: kvno = 4, keytab entry valid
Die KeyVersionNumber (kvno) kann bei Dir eine andere sein, Hauptsache in Keytab und auf dem Kerberos-Server gleich.
2. auf dem Rechner, wo Firefox läuft =========================== - gleiche /etc/krb5.conf wie auf dem Apache-Server?
- gültiges Kerberos-Ticket vorhanden? (ansonsten fällt der Brauser auf Passwort-Eingabe zurück) Bekommt man frisch bei Anmeldung oder Bildschirm-Entsperren, wenn das System korrekt konfiguriert ist. Ansonsten "$ kinit"
Prüfen geht mit $ klist Ticket cache: DIR::/<woauchimmer> Default principal: dein_login_name@CCH.INTRA
Valid starting Expires Service principal <Datum, Uhrzeit> <Datum, Uhrzeit> krbtgt/CCH.INTRA@CCH.INTRA renew until <Datum, Uhrzeit>
3. Firefox - "about:config" ===================
Da muß
network.negotiate-auth.trusted-uris - cch.intra
gesetzt sein. Bei G*gle Ch*me geht da auch "*"