Single Sign On mit Kerberos

[schorschi]

Hallo zusammen,

ich steh hier gerade vor einem dicken Problem mit unseren SSO Anbindung.

Sobald ich im Webbrowser den Aufruf auf das OTRS starte erhalte ich immer noch einen vorgelagerte Anmeldemaske, zwar nicht das Orginal Login von OTRS aber diese Basic Authentification.

otrs.PNG

Wenn ich mich jedoch mit meinem Domainbenutzer und Passwort in der Basic Authenfication Maske anmelde erhalte ich automatisch meine OTRS Maske.

Hier der Code aus der otrs.conf

Code: Select all

# --
# added for OTRS (http://otrs.org/)
# $Id: apache2-httpd-new.include.conf,v 1.5 2008/11/10 11:08:55 ub Exp $
# --

# agent, admin and customer frontend
ScriptAlias /otrs/ "/opt/otrs/bin/cgi-bin/"
Alias /otrs-web/ "/opt/otrs/var/httpd/htdocs/"

# if mod_perl is used
<IfModule mod_perl.c>

    # load all otrs modules
    Perlrequire /opt/otrs/scripts/apache2-perl-startup.pl

    # Apache::Reload - Reload Perl Modules when Changed on Disk
    PerlModule Apache2::Reload
    PerlInitHandler Apache2::Reload
    PerlModule Apache2::RequestRec

    # set mod_perl2 options
    <Location /otrs>
#        ErrorDocument 403 /otrs/customer.pl
        ErrorDocument 403 /otrs/index.pl
        SetHandler  perl-script
        PerlResponseHandler ModPerl::Registry
        Options +ExecCGI
        PerlOptions +ParseHeaders
        PerlOptions +SetupEnv
        Order allow,deny
        Allow from all
    AuthType Kerberos
    KrbAuthRealms DOMAIN.COM
    KrbServiceName HTTP
    Krb5Keytab /etc/apache2/keytabs/http.keytab
    KrbMethodNegotiate on
    KrbMethodK5Passwd off
    require valid-user
    </Location>

</IfModule>

# directory settings
<Directory "/opt/otrs/bin/cgi-bin/">
    AllowOverride None
    Options +ExecCGI -Includes
    Order allow,deny
    Allow from all
    AuthType Kerberos
    KrbAuthRealms DOMAIN.COM
    KrbServiceName HTTP
    Krb5Keytab /etc/apache2/keytabs/http.keytab
    KrbMethodNegotiate on
    KrbMethodK5Passwd off
    require valid-user
</Directory>
<Directory "/opt/otrs/var/httpd/htdocs/">
    AllowOverride None
    Options +ExecCGI -Includes
    Order allow,deny
    Allow from all
    AuthType Kerberos
    KrbAuthRealms DOMAIN.COM
    KrbServiceName HTTP
    Krb5Keytab /etc/apache2/keytabs/http.keytab
   KrbMethodNegotiate on
    KrbMethodK5Passwd off
    require valid-user
</Directory>

# MaxRequestsPerChild (so no apache child will be to big!)
MaxRequestsPerChild 400

Hat jemand spontan ne Idee??

[MarkusFrank]

Hi Schorsch,

ging es vorher?
Also, iss auf jeden Fall nen Apache2 Problem!

Ist die Zeit Syncron, zwischen deinem DC und dem OTRS Server?!
Passt das mit dem KeyTab?

[schorschi]

Nein, ich habs erst gestern eingerichtet. Der Zeitaspekt ist glaub ich ein guter Ansatz. Werds gleich testen bzw. nachschauen aber danke schonmal für die Unterstützung.

[garwen]

Ich hatte mich bezüglich Kerberos mal etwas durch Google gelesen. Gab dann aber die rote Flagge vom Chef, da wir Kerberos noch nicht im Einsatz haben.

Ich hab leider keinen Link mehr, aber soweit ich mich erinnere musst Du das Kerberos Modul in der httpd.conf vom Apache laden, damit der Webserver das Kerberos Ticket beim laden der Seite abholt.