Kerberos Auth an 2 Domänen

Hilfe zu Znuny Problemen aller Art
Forum rules
Locked
MrSchrotti
Znuny newbie
Posts: 10
Joined: 07 Apr 2009, 13:58
Znuny Version: 2.4

Kerberos Auth an 2 Domänen

Post by MrSchrotti »

Hi,

ich sitze hier grade vor einem Problem. Wir wollen und am OTRS System per Kerberos (SSO) authentifizieren. Unsere Struktur ist leider etwas komplizierter.
WIr haben 2 Domänen die sich vertrauen (Vertrauensstellung) es handelt sich dabei um 2 Active Directory 2003 Domänen.

Ich habe für beide Domänen ein entsprechendes Keytab file generiert und auf dem Apache 2 Server abgelegt (Linux). Die Benutzer werden aus einem LDAP Verzeichnis abgefragt. Das funktioniert auch so weit wunderbar.
Ich kann mich nun aber leider immer nur über eine Domäne authentifizieren sobald ich eine weitere eintrage geht nix mehr.
Daher habe ich versucht das ganze über 2 getrennte customer.pl zu managen die eigene Konfigurationen besitzen.
- zzz_otrsA
- zzz_otrsB

Für die Kerberos Authentifizierung habe ich dort folgendes eingetragen:
Domäne A

Code: Select all

<Directory "/opt/otrs/bin/cgi-bin/">
   AllowOverride None
   AuthType Kerberos
   AuthName "WKI"
   Krb5Keytab /opt/ist011_A_HMAC.keytab
   KrbAuthRealm  A.DOM.DE
   KrbMethodNegotiate on
   KrbSaveCredentials  on
   KrbMethodK5Passwd on
   KrbVerifyKDC off
   Require valid-user
   Options +ExecCGI -Includes
   Order allow,deny
   Allow from all

  MapUsernameRule (.*)@(.*) "$1"

</Directory>
Und für Domäne B

Code: Select all

<Directory "/opt/otrs/bin/cgi-bin/">
   AllowOverride None
   AuthType Kerberos
   AuthName "WKI"
   Krb5Keytab /opt/ist011_B_HMAC.keytab
   KrbAuthRealm  B.DOM.DE
   KrbMethodNegotiate on
   KrbSaveCredentials  on
   KrbMethodK5Passwd on
   KrbVerifyKDC off
   Require valid-user
   Options +ExecCGI -Includes
   Order allow,deny
   Allow from all

  MapUsernameRule (.*)@(.*) "$1"

</Directory>
Meine krb5.conf sieht so aus:

Code: Select all

[libdefaults]
        default_realm = A.DOM.DE

        allow_weak_crypto = true
        #default_tkt_enctypes = des3-hmac-sha1 des-cbc-md5
        #default_tgs_enctypes = des3-hmac-sha1 des-cbc-md5
        default_tgs_enctypes = rc4-hmac
        default_tkt_enctypes = rc4-hmac
        dns_lookup_kdc = true
        dns_lookup_realm = false

[realms]
        A.DOM.DE = {
                kdc = IST005.A.DOM.DE
                admin_server = IST005.A.DOM.DE
        }

        B.DOM.DE = {
                kdc = WKI006.B.DOM.DE
                admin_server = WKI006.B.DOM.DE
}

[domain_realm]
         a.dom.de = A.DOM.DE
         .a.dom.de = A.DOM.DE

        b.dom.de = B.DOM.DE
        .b.dom.de = B.DOM.DE
Wenn ich mich nun versuche über die customer.pl für DOM A zu authentifizieren funktioniert das. Gehe ich nun auf die customer.pl von DOM B bekomme ich einen Internal Server error und in der log steht folgendes:

Code: Select all

[Sun Jun 19 13:47:03 2011] [error] [client XXX] gss_acquire_cred() failed: Unspecified GSS failure.  Minor code may provide more information (, No key table entry found for HTTP/ist011.a.dom.de@A.DOM.DE)
Vielleicht gehe ich an mein Problem auch ganz falsch dran. Am liebsten wär es mir wenn ich über die Vertrauensstellung gehen könnte. Denn ich kann so ja auch DOM A benutzer über DOM B Server authentifizieren an unseren Clients jedenfalls.... also wäre super denn ich über den realm A.DOM.DE auch benutzer von B.DOM.DE authentifizieren könnte.


Vielleicht hat da ja jemand eine Idee für mich :)


Gruß
Tobias
Top
Locked

Return to “Hilfe”