V
Кто заводил сего зверя, поделитесь опытом. Ибо у меня не проходит авторизация.
Судя по кишкам апача, порт 9869 завернули на локалхост:9869, чтобы админы в адресной строке меньше писали. Но в итоге авторизация по керберос не проходит. KDC пишет шо билет не фордабле. Настроил сервак и админскую машинку в /etc/krb5.conf:
forwardable = true
Кстати, попутный вопрос. В политике кербероса (ALD) принципиал по умолчанию создаётся с включённым флагом, зачем тогда все хосты настраиваются без его поддержки?
Но вернёмся к апачу. Теперь он кричит что тикет непроксабле.
включил и это.
proxyable = true (если не ошибаюсь).
т.к. в политике кербероса по умолчанию принципиалы создаются с выключенным этим флагом, то даже я уже включив его у принципиалов через kadmin, получил что тикеты на апач теперь сыпятся non-proxyable. На этом я сдался, сил обновить на сервисах /etc/krb5.keytab у меня не хватило, как и уверенности, что это поможет (опеннебула на своём сайте пишет что керберос аутентификацию не поддерживает).
Что я делаю не так? Установка шла чётко по документации
Судя по кишкам апача, порт 9869 завернули на локалхост:9869, чтобы админы в адресной строке меньше писали. Но в итоге авторизация по керберос не проходит. KDC пишет шо билет не фордабле. Настроил сервак и админскую машинку в /etc/krb5.conf:
forwardable = true
Кстати, попутный вопрос. В политике кербероса (ALD) принципиал по умолчанию создаётся с включённым флагом, зачем тогда все хосты настраиваются без его поддержки?
Но вернёмся к апачу. Теперь он кричит что тикет непроксабле.
включил и это.
proxyable = true (если не ошибаюсь).
т.к. в политике кербероса по умолчанию принципиалы создаются с выключенным этим флагом, то даже я уже включив его у принципиалов через kadmin, получил что тикеты на апач теперь сыпятся non-proxyable. На этом я сдался, сил обновить на сервисах /etc/krb5.keytab у меня не хватило, как и уверенности, что это поможет (опеннебула на своём сайте пишет что керберос аутентификацию не поддерживает).
Что я делаю не так? Установка шла чётко по документации