Я следовал этому руководству по настройке Apache Directory Studio. для веб-приложения для разработки и тестирования аутентификации Kerberos (с использованием spnego). Я настроил службу ldap и выдачи билетов, а также несколько основных учетных записей пользователей. Я могу сделать kinit с учетными записями пользователей, поэтому я знаю, что эта часть работает хорошо.
Таким образом, текущие журналы показывают, что он не может расшифровать билет. Я попытался использовать файл keytab с kinit, и он не работал, поэтому я просто попытался выполнить kinit и вручную ввести пароль, что также не работает (даже после проверки правильности пароля в Apache Directory Studio) . Вот файл ldif, который я использовал для создания spn:
dn: uid=HTTP/example.com,ou=users,dc=security,dc=example,dc=com
objectClass: top
objectClass: krb5KDCEntry
objectClass: inetOrgPerson
objectClass: krb5Principal
objectClass: person
objectClass: organizationalPerson
cn: HTTP/example.com
krb5KeyVersionNumber: 1
krb5PrincipalName: HTTP/[email protected]
sn: Something
uid: HTTP/example.com
userPassword: secret
всякий раз, когда я делаю kinit -V HTTP/example.com
и ввожу пароль, я просто получаю:
HTTP/[email protected]'s Password:
kinit: Password incorrect
Это мой krb5.conf:
[libdefaults]
debug = true
default_realm = EXAMPLE.COM
[realms]
EXAMPLE.COM = {
kdc = example.com:60088
admin_server = example.com:60088
default_domain = EXAMPLE.COM
}
[domain_realm]
.example.com = EXAMPLE.COM
example.com = EXAMPLE.COM