klink0v (klink0v) wrote,
klink0v
klink0v

Еще один Kerberos-related баг (libapache2-mod-auth-kerb)

Говорил же в предыдущем псто о том, что всё связанное с Kerberos в Linux несёт в себе ну очень большое количество багов? Вот ещё один.

Если в настройках модуля libapache2-mod-auth-kerb (mod_auth_kerb.so) активирован параметр "KrbMethodK5Passwd on", который говорит о необходимости произвести fallback на авторизацию по паролю в случае отлупа по SPNEGO, то модуль берёт не тот keytab, который указан у него же в настройках в строфе "Krb5Keytab бла-бла-бла", а системный дефолтный keytab (который прописан в "/etc/krb5.conf" в default_keytab_name).

Внешне это выглядит следующим образом. По GSSAPI/SPNEGO пользователи аутентифицируются нормально. А вот если оно не сработало и сервер запросил логин-пароль, то дальше в логах апача наблюдаем

krb5_get_init_creds_password() failed: KDC reply did not match expectations
failed to verify krb5 credentials: Key table entry not found

Блин, когда они уже закончатся, эти бесконечные баги... Надо рапорт чтоль автору отправить...

Tags: it, kerberos, linux, windows, администрирование, гетерогенность
Subscribe
  • Post a new comment

    Error

    Anonymous comments are disabled in this journal

    default userpic

    Your reply will be screened

    Your IP address will be recorded 

  • 0 comments