Hallo Leute!
Ich habe einen Server mit Ubuntu 14.04, auf dem ich mit Samba4 einen Active Directory Controller eingerichtet habe (der funktioniert). Auf dem Server habe ich Apache 2.4.7 installiert.
Nun wollte ich eine Seite in Apache anlegen, die die Nutzer mit SSO erreichen können. Ich habe also folgendes gemacht:
samba-tool user create --random-password http-www samba-tool spn add HTTP/www.cch.intra http-www samba-tool domain exportkeytab /etc/apache2/apache.keytab --principal=HTTP/www.cch.intra@CCH.INTRA chown www-data:www-data /etc/apache2/apache.keytab chmod 640 /etc/apache2/apache.keytab
Damit habe ich den "principal" angelegt und den keytab für Apache. Dann in Apache habe ich folgendes:
<Directory /home/www/cchportal/> AuthType Kerberos AuthName "Interner Bereich"
KrbMethodNegotiate On KrbMethodK5Passwd On KrbAuthRealms CCH.INTRA Krb5KeyTab /etc/apache2/apache.keytab KrbLocalUserMapping On
Require valid-user </Directory>
Apache startet ohne Fehlermeldungen, aber das ganze funktioniert nicht... Wenn ich mit lynx versuche mich anzumelden wird ein Passwort gefragt (logisch!). Ich gebe meine Daten und die Authentifizierung klappt nicht. In der ErrorLog sehe ich:
[Fri Apr 15 21:26:28.557109 2016] [auth_kerb:error] [pid 14416] [client 192.168.50.1:34412] failed to verify krb5 credentials: Wrong principal in request
Wenn ich von einem Windows-Client mit Firefox oder IE versuche, wird nach einem Passwort gefragt, also der SSO geht nicht.
Hat jemand eine Ahnung warum?
Danke Luca Bertoncello (lucabert@lucabert.de)