问题标签 [mod-auth-kerb]

我一直在努力让这个工作，不知道哪里出了问题。

在 apache 配置中，我有以下部分：

我试图从身份验证中排除的页面是这样的：

• https://example.local/my/InvalidCredentials
• https://example.local/my/PublicPage/somevariabledata

除了 Require expr 语句之外的所有语句都在工作，表达式肯定是错误的，但不知道它有什么问题。

我对 mod_auth_keb 或 SPNEGO 协议的了解非常有限，但是我们正在寻求实现以下方法来获得对部署在我们 weblogic(10.3.3) 上的许多应用程序的单点登录访问（针对具有 NT 域用户授权的 Microsoft AD）。 6) 在 Redhat 集群上运行的集群（有些部署在不同的域上）。目前，所有请求都通过 apache http 服务器通过 mod_wl 连接器进行负载平衡。

这个想法是在 Apache 上安装身份验证服务和票证授予服务以进行初始授权（在 mod_auth_kerb 或其他 auth_kerb 模块的帮助下，使用带有 kbr5 keytab 主机配置的 windows-authentication 进行 windows-authentication）并在授权后直接/负载平衡对带有 REMOTE_USER 标头的 Weblogic 特定上下文的请求。

有兴趣检查是否有人具有可在生产规模上运行的设置，并且想知道他们是否可以在将 Apache 的 Kerberos 配置与 apache-weblogic 桥一起使用后共享设置信息。

提前致谢 ！拉胡尔

我在 apache 中使用 mod_auth_kerb 模块进行 kerberos 身份验证。

用户名的格式为“用户名” ，如下所示：

我需要小写的完整用户名。变量是%{LA-U:REMOTE_USER}

如何使用 mod_rewrite 将变量重写为小写？或者，还有更好的方法？

谢谢你的帮助。

我试图在我的 apache 上设置一个简单的文件目录共享，它被 kerberized 用于处理 KDC 票证，

当我尝试通过工作站上的 Chrome 浏览器访问共享文件时，我的 Apacche 错误日志中出现这些错误，

我的公司 AD 上有一个 Windows 10 工作站，我的 Apache 在 Centos 7 上，httpd-2.4.10

我使用 mksutil 为我的 Apache 服务器创建了一个服务帐户，并将生成的密钥表复制到 Apache 服务器 /etc/httpd/

到目前为止完成的测试：

1. 测试从 Apache 服务器到域的基本连接

2. 检查是否在 AD 上生成了名为“web01.httpd”的实用程序帐户，并且它在那里，也通过 KLIST 检查它

不知道去哪里找，我的工作站 Internet 选项 - 本地站点 - 配置为对我的域进行身份验证，

仍然收到 NTLM 错误消息

我已经使用 mod_auth_kerb 在我的 Apache 服务器（Ubuntu 16.04 LTS）上设置了 Kerberos 身份验证。配置如下：

它可以正常工作。

但是我想在 .htpasswd 文件中添加身份验证回退，以防 Kerberos 失败。

我尝试了以下方法：

但是重新启动时出现错误：

我已将 Apache LogLevel 设置为调试，但日志文件中没有任何内容……我的 mod_auth_kerb 版本是 5.4-2.2。

有任何想法吗 ？

谢谢 ：）

我们使用 Apachemod_auth_kerb来验证我们在 Active Directory 中配置的用户。在尝试从环境变量中提取时，我观察到一些奇怪的事情——当通过加载库REMOTE_USER启用 SSL 时，我能够检索用户，但给了我非 SSL 变量的“null”值。mod_ssl

以下是我的 Apache 服务器的配置：

据我了解 Apache Mod Header Docs

%{VARNAME}e 环境变量 VARNAME 的内容。
%{VARNAME}s SSL 环境变量 VARNAME 的内容，如果启用了 mod_ssl。

我尝试打开和关闭 SSL，这
是启用 SSL 时看到的结果

当 SSL 被禁用时

我有一个使用 mod_auth_kerb 配置的内部 Apache 服务器。我还有一个外部 Apache 服务器，它代理到内部的连接。

当用户在内部与他们的域帐户连接时，使用 kerberose 的 SSO 可以工作。在外部访问时，系统会提示他们输入用户名和密码。在我们实施第二个域（又名领域）之前，此设置一直有效。

在内部，任一域上的用户都可以进行身份​​验证。但在外部，输入凭据后，内部服务器报告

和代理报告

我知道我遗漏了一些明显的东西。

这是代理的配置

来自内部服务器的配置

密钥表示例

我已经在一个 Web 应用程序上实现了 kerberos 单点登录身份验证。为此，我在 Active Directory 中为此特定应用程序（例如：app1.domain.com）生成了一个 keytab 文件。

如果我想在同一个域中的另一个应用程序（例如：app2.domain.com）中实现 SSO 身份验证，我绝对必须生成另一个 keytab 文件吗？

domain.com 中的每个应用程序都不能有一个 keytab 文件吗？

我正在使用带有 apache 的 Kerberos Mod 来验证我们在 Ubuntu 服务器上托管的 Intranet 站点上的 Windows 用户。获取数据的后端是tomcat。有问题的站点向https://siteName/user/logMeIn发出 GET 请求。当我尝试从标题中获取用户名时，它不存在。

我尝试在不同的场合将 RequestHeader set X-Remote-User expr=%{REMOTE_USER} RequestHeader set X-REMOTE-USER %{REMOTE_USER}s 添加到 apache 虚拟主机文件中

apache 虚拟主机文件

Java 弹簧代码

我根本没有得到用户名，也许是因为 kerberos mod 在初始身份验证后没有通过用户名。但是我仍然需要它下面是get请求的响应

接受编码：“gzip，放气，br”

接受语言：“en-US,en;q=0.9”

身份验证类型：空

来源：“ https://schedulemeetingtest.riverstonegroup.com ”

校长姓名：“未知”

远程地址：“192.168.93.140”

远程用户名：空

Sec-Fetch-Mode：“cors”

Sec-Fetch-Site：“同源”

SeverletPath: "/user/logMeIn"

接受：“应用程序/json，文本/纯文本，/ ”

连接：“保持活动”

内容长度：“0”

内容类型：“应用程序/x-www-form-urlencoded”

主持人：“schedulemeetingtest.riverstonegroup.com”

推荐人：“ https://schedulemeetingtest.riverstonegroup.com/ ”

用户代理：“Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/76.0.3809.132 Safari/537.36”

我想看到的是 RemoteUserName 显示用户不为空

在这里需要一些帮助。

如何在windows上为apache 2.4配置/编译mod_auth_kerb？我搜索的信息倾向于在 linux 而不是 windows 上显示配置。

我找到了销售模块的团队 schaeuffelhut-berger ( https://www.schaeuffelhut-berger.de/wordpress/en/buy-mod_auth_kerb-online-at-windows-for-apache2-4/ )。这是唯一可用的选项吗？

我想通过 Active Directory 使用 SSO 身份验证制作我们的 php 应用程序。我搜索了一下，发现可能还有另外两种方法：

• apache 模块mod_authnz_sspi
• apache 模块mod_authnz_ldap

您更喜欢哪种身份验证方法？

感谢大家的帮助和帮助！