2
我有一个Windows AD服务器, 和一个运行Apache和Subversion的Linux服务器, 也有一个Windows服务器运行使用Windows身份验证的.net Web应用程序。适用于不在ActiveDirectory域中的计算机单点登录
我已经配置了如何将Kerberos或GSSAPI应用于具有AD凭据的auth颠覆用户,并且用户使用加入域的计算机将不会提示窗口访问.net Web应用和svn时询问用户和密码。
但是这些不加入域的用户总是提示一个窗口询问两次web应用和svn的用户和密码,我想共享两个应用的登录凭证,我该如何申请?
谢谢。
的krb5.conf:
[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log
[libdefaults]
default_realm = SCRCUTEST.COM
forwardable = true
dns_lookup_realm = false
dns_lookup_kdc = true
rdns = false
[realms]
SCRCUTEST.COM = {
kdc = astest.scrcutest.com
admin_server = astest.scrcutest.com
}
[domain_realm]
.scrcutest.com = SCRCUTEST.COM
scrcutest.com = SCRCUTEST.COM
的resolv.conf:
domain scrcutest.com
nameserver 10.16.0.37
的http.conf:
<Location /svn>
DAV svn
SVNParentPath /data/bb_bak/PV/access
SVNListParentPath On
SVNAutoVersioning On
AuthType Kerberos
AuthName "Input AD account"
KrbAuthRealms SCRCUTEST.COM
KrbServiceName HTTP
Krb5Keytab /etc/httpd/conf/kerberos.keytab
KrbMethodNegotiate On
KrbVerifyKDC Off
KrbMethodK5Passwd Off
KrbSaveCredentials on
Require valid-user
</Location>
你可以编辑你的任务在Linux服务器上的Apache配置文件中包含Kerberos节? –
@ T-Heron你如何知道这是一台Linux服务器? –
等等......有些东西看起来不对。如果AD用户无法访问httpd.conf中指定的密钥表,那么AD用户如何能够首先将SSO插入Apache?看起来你缺少一个应该看起来像这样的行:_GssapiCredStore keytab:/path/to/httpd.keytab_ –