Web-интерфейс в opennebula ПК Брест под Астрой 1.6.

vasja

New member
Сообщения
45
#1
Кто заводил сего зверя, поделитесь опытом. Ибо у меня не проходит авторизация.
Судя по кишкам апача, порт 9869 завернули на локалхост:9869, чтобы админы в адресной строке меньше писали. Но в итоге авторизация по керберос не проходит. KDC пишет шо билет не фордабле. Настроил сервак и админскую машинку в /etc/krb5.conf:
forwardable = true
Кстати, попутный вопрос. В политике кербероса (ALD) принципиал по умолчанию создаётся с включённым флагом, зачем тогда все хосты настраиваются без его поддержки?
Но вернёмся к апачу. Теперь он кричит что тикет непроксабле.
включил и это.
proxyable = true (если не ошибаюсь).
т.к. в политике кербероса по умолчанию принципиалы создаются с выключенным этим флагом, то даже я уже включив его у принципиалов через kadmin, получил что тикеты на апач теперь сыпятся non-proxyable. На этом я сдался, сил обновить на сервисах /etc/krb5.keytab у меня не хватило, как и уверенности, что это поможет (опеннебула на своём сайте пишет что керберос аутентификацию не поддерживает).
Что я делаю не так? Установка шла чётко по документации:(
 

Fd1501h

Moderator
Сообщения
464
#2
Кто заводил сего зверя, поделитесь опытом. Ибо у меня не проходит авторизация.
Судя по кишкам апача, порт 9869 завернули на локалхост:9869, чтобы админы в адресной строке меньше писали. Но в итоге авторизация по керберос не проходит. KDC пишет шо билет не фордабле. Настроил сервак и админскую машинку в /etc/krb5.conf:
forwardable = true
Кстати, попутный вопрос. В политике кербероса (ALD) принципиал по умолчанию создаётся с включённым флагом, зачем тогда все хосты настраиваются без его поддержки?
Но вернёмся к апачу. Теперь он кричит что тикет непроксабле.
включил и это.
proxyable = true (если не ошибаюсь).
т.к. в политике кербероса по умолчанию принципиалы создаются с выключенным этим флагом, то даже я уже включив его у принципиалов через kadmin, получил что тикеты на апач теперь сыпятся non-proxyable. На этом я сдался, сил обновить на сервисах /etc/krb5.keytab у меня не хватило, как и уверенности, что это поможет (опеннебула на своём сайте пишет что керберос аутентификацию не поддерживает).
Что я делаю не так? Установка шла чётко по документации:(
В своё время разворачивали, всё работало. Были только особенности в настройки FF для входа по kerberos.
В чате телеграмма есть человек который очень плотно занимался Брестом. Ну и в оф.саппорт напишите.
 

vasja

New member
Сообщения
45
#5
брестовской.
Вопрос решён взятием другого образа ОС, и тотальной переустановкой, на хосте АЛД, на фронтенде небулы...
В чём был затык осталось загадкой, я уже не поленился и всех принципиалов подправил - включил флаг прокси. И ключи их всех удалил и заново выгрузил в файлы...