Voraussetzungen:

1. Ein Dienstkonto/Benutzerkonto im Active Directory.
2. Für das Kontokennwort sollte ein Kennwort festgelegt sein Nicht abgelaufen.

Schritt 1: Erstellen Sie eine Keytab-Datei auf dem AD-Domänencontroller.

• Öffnen Sie auf dem AD-Domänencontroller die Eingabeaufforderung im Administratormodus und führen Sie den folgenden Befehl aus, um die Keytab-Datei zu erstellen.
ktpass -princ HTTP/<Server Host Name>@EXAMPLE.COM -mapuser <username@EXAMPLE.COM>
-pass password -ptype KRB5_NT_PRINCIPAL -out <PATH>\spn.keytab


Hinweis: Gewährleisten BEISPIEL.COM sollte in Großbuchstaben geschrieben werden. Wenn der Benutzer mit SPN bereits vorhanden ist, verwenden Sie diesen Benutzer, um einen neuen zu erstellen. Das Kerberos-Prinzip unterscheidet zwischen Groß- und Kleinschreibung. Bitte prüfen Sie, ob es Unterschiede in der Groß-/Kleinschreibung gibt, bevor Sie den Keytab-Befehl ausführen.

• Im Folgenden sind die Komponenten des Befehls aufgeführt.

Server-Hostname:	Dies ist der Hostname der auf dem Server gehosteten Site.
EXAMPLE.COM:	Es handelt sich um den Active Directory-Domänennamen.
Benutzername:	Es handelt sich um ein Dienstkonto im Active Directory.
Passwort:	Es handelt sich um das Passwort des oben verwendeten Dienstkontos.
Pfad:	Pfad zu einem lokalen Speicherort, an dem die Keytab-Datei gespeichert wird. (C:\Temp\spn.keytab)

• Öffnen Sie „Active Directory-Benutzer und -Computer“ und wählen Sie im oberen Menü „Ansicht“ >> „Erweiterte Funktionen“.
• Öffnen Sie das Dienstkonto, gehen Sie zur Registerkarte „Attributeditor“ und navigieren Sie zum servicePrincipalName, um den SPN-Eintrag zu überprüfen.
• Navigieren Sie zur Registerkarte „Delegierung“.
• Wählen Sie „Diesem Benutzer vertrauen“ für die Delegierung an einen beliebigen Dienst aus (nur Kerberos).

• Klicken Sie auf Anwenden.

• Kopieren Sie die Keytab Datei vom AD-Domänencontroller auf den auf Apache gehosteten Webserver übertragen.
• Erteilen Sie der Kerberos-Keytab-Datei die Berechtigung:
chmod 644 etc/apache2/spn.keytab

Schritt 2: Kerberos-Clientbibliotheken auf dem Webserver installieren.

• Verwenden Sie den folgenden Befehl auf Ihrem Terminal, um die Kerberos-Clientbibliotheken zu installieren.
sudo apt-get install krb5-user

Schritt 3: Module für Apache installieren.

1: Installieren Sie das Modul mod_auth_kerb für Apache.

• Verwenden Sie den folgenden Befehl, um das auth_kerb-Modul für Apache auf Debian-basierten Systemen zu installieren:
sudo apt-get install libapache2-mod-auth-kerb

• Sobald das Modul auth_kerb installiert ist, muss es mit dem folgenden Befehl aktiviert werden.
a2enmod auth_kerb

• Starten Sie Apache nach der Aktivierung neu, damit es wirksam wird.

Or

2: Installieren Sie das Modul mod-auth-gssapi für Apache.

• Verwenden Sie den folgenden Befehl, um das Modul libapache2-mod-auth-gssapi für Apache auf Debian-basierten Systemen zu installieren:
sudo apt-get -y install libapache2-mod-auth-gssapi

Schritt 4: Konfigurieren Sie die Active Directory-Domäne in der Kerberos-Konfigurationsdatei.

• Öffnen und bearbeiten Sie die krb5.conf Datei.
  Der Pfad zur krb5.conf-Datei für Linux ist C:/etc/krb5.conf und für andere Das UNIX-basierte System ist c:/etc/krb5/krb5.conf
• Fügen Sie den folgenden Konfigurationsausschnitt hinzu krb5.conf Datei unter dem genannten Abschnitt:
[libdefaults]
default_realm = EXAMPLE.COM
# ...
# ...
[realms]
EXAMPLE.COM = {
kdc = <DNS entries pointing to your primary domain controller>: Port
admin_server = <DNS entries pointing to your primary domain controller>: Port
}
[domain_realm]
.example.com = EXAMPLE.COM
example.com = EXAMPLE.COM



Hinweis: Ersetzen Sie die IP/DNS des AD-DOMAIN-CONTROLLERS mit Ihrer IP/DNS-Adresse. Sicherstellen BEISPIEL.COM sollte in Großbuchstaben geschrieben werden.
Ersetzen Sie die BEISPIEL.COM mit dem Active Directory-Domänennamen.
Und stellen Sie sicher, dass der Port 88 auf dem AD-Domänencontroller von diesem Server aus zugänglich ist.

• Speichern Sie die Datei.

Schritt 5: Konfigurieren Sie Kerberos SSO für das Site-Verzeichnis

• Bearbeiten Sie die angelegte Konfigurationsdatei des virtuellen Hosts, die darunter gespeichert ist /etc/apache2/sites-enabled-Verzeichnis oder die standardmäßige virtuelle Hostdatei mit dem Namen 000-default.conf



Hinweis: Fügen Sie den folgenden Abschnitt im Verzeichnis entsprechend dem verwendeten Apache-Modul hinzu. Z.B: „mod_auth_kerb“ or „mod_auth_gssapi“.

1. Fügen Sie den folgenden Abschnitt im Verzeichnis der Site hinzu für mod_auth_kerb.
<Directory "/placeholder">
    AuthType Kerberos
    KrbAuthRealms EXAMPLE.COM
    KrbServiceName HTTP/<Server Host Name>
    Krb5Keytab <PATH TO KEYTAB>
    KrbMethodNegotiate on
    KrbMethodK5Passwd on
    require valid-user
</Directory>


Or



2. Fügen Sie den folgenden Abschnitt im Verzeichnis der Site hinzu für mod_auth_gssapi.
<IfModule !mod_auth_gssapi.c>
    LoadModule auth_gssapi_module /usr/lib64/httpd/modules/mod_auth_gssapi.so
</IfModule>
<Directory "/placeholder">
    AuthType GSSAPI
    AuthName "Kerberos auth"
    GssapiAllowedMech krb5
    GssapiBasicAuth On
    GssapiCredStore keytab:<PATH TO KEYTAB>
    GssapiLocalName On
    BrowserMatch Windows gssapi-no-negotiate
    Require valid-user
</Directory>


Hinweis: Gewährleisten BEISPIEL.COM sollte in Großbuchstaben geschrieben werden.
Im Folgenden sind die Komponenten der obigen Konfiguration aufgeführt:

EXAMPLE.COM:	Dies ist die Active Directory-Domäne, wie in krb5.conf konfiguriert.
PFAD ZUM KEYTAB:	Zugänglicher Pfad zum Keytab auf diesem Server. (etc/spn.keytab)

• Nach dieser Konfiguration muss Apache neu gestartet werden, damit die Änderungen wirksam werden.

Voraussetzungen für Dienstkonto:

1. Für das Kontokennwort sollte ein Kennwort festgelegt sein Nicht abgelaufen.
2. Dem Konto sollte für die Delegierung vertraut werden.

Schritt 1: Erstellen Sie eine Keytab-Datei auf dem AD-Domänencontroller.

• Öffnen Sie auf dem AD-Domänencontroller die Eingabeaufforderung im Administratormodus und führen Sie den folgenden Befehl aus, um die Keytab-Datei zu erstellen.
ktpass -princ HTTP/<Server Host Name>@EXAMPLE.COM -mapuser <username@EXAMPLE.COM>
-pass password -ptype KRB5_NT_PRINCIPAL -out <PATH>\spn.keytab


Anmerkungen: Gewährleisten BEISPIEL.COM sollte in Großbuchstaben geschrieben werden. Das Kerberos-Prinzip unterscheidet zwischen Groß- und Kleinschreibung. Bitte prüfen Sie, ob es Unterschiede in der Groß-/Kleinschreibung gibt, bevor Sie den Keytab-Befehl ausführen.

• Im Folgenden sind die Komponenten des Befehls aufgeführt.

Server-Hostname:	Dies ist der Hostname der auf dem Server gehosteten Site.
EXAMPLE.COM:	Es handelt sich um den Active Directory-Domänennamen.
Benutzername:	Es handelt sich um ein Dienstkonto im Active Directory.
Passwort:	Es handelt sich um das Passwort des oben verwendeten Dienstkontos.
Pfad:	Pfad zu einem lokalen Speicherort, an dem die Keytab-Datei gespeichert wird. (C:\Temp\spn.keytab)

• Kopieren Sie die Keytab Datei vom AD-Domänencontroller auf den auf Apache gehosteten Webserver übertragen.
• Erteilen Sie der Kerberos-Keytab-Datei die Berechtigung:
chmod 644 etc/httpd/spn.keytab

Schritt 2: Kerberos-Clientbibliotheken auf dem Webserver installieren.

• Verwenden Sie den folgenden Befehl auf Ihrem Terminal, um die Kerberos-Clientbibliotheken zu installieren.
yum install -y krb5-workstation krb5-devel krb5-libs mod_auth_gssapi mod_session


Hinweis: In den neuesten Versionen von CentOS ist die mod_auth_kerb wurde veraltet und durch ersetzt mod_auth_gssapi.

Schritt 3: Module für Apache installieren.

    1: Installieren Sie das Modul mod_auth_kerb für Apache.

• Verwenden Sie den folgenden Befehl, um das auth_kerb-Modul für Apache auf Red Hat-basierten Systemen zu installieren. (Für die neuesten Versionen von RHEL verwenden Sie das Modul mod-auth-gssapi.)
yum install mod_auth_kerb

Or

    2: Installieren Sie das Modul mod-auth-gssapi für Apache.

• Verwenden Sie den folgenden Befehl, um das Modul libapache2-mod-auth-gssapi für Apache auf Debian-basierten Systemen zu installieren:
sudo apt-get -y install libapache2-mod-auth-gssapi

Schritt 4: Konfigurieren Sie die Active Directory-Domäne in der Kerberos-Konfigurationsdatei.

• Öffnen und bearbeiten Sie die krb5.conf Datei.
  Der Pfad zur krb5.conf-Datei für RHEL ist C:/etc/krb5.conf
• Fügen Sie den folgenden Konfigurationsausschnitt hinzu krb5.conf Datei unter dem genannten Abschnitt:
• Navigieren Sie zu der [libdefaults] Abschnitt und fügen Sie Folgendes hinzu:
default_realm = EXAMPLE.COM
dns_lookup_realm = true
dns_lookup_kdc = true

• Navigieren Sie zu der [Bereiche] Abschnitt und fügen Sie Folgendes hinzu:
EXAMPLE.COM = {
kdc = <DNS entries pointing to your primary domain controller>: Port
admin_server = <DNS entries pointing to your primary domain controller>: Port
}
• Navigieren Sie zu der [domain_realm] Abschnitt und fügen Sie Folgendes hinzu:
.example.com = EXAMPLE.COM
example.com = EXAMPLE.COM



Hinweis: Ersetzen Sie die IP/DNS des AD-DOMAIN-CONTROLLERS mit Ihrer IP/DNS-Adresse. Sicherstellen BEISPIEL.COM sollte in Großbuchstaben geschrieben werden.
Ersetzen Sie die BEISPIEL.COM mit dem Active Directory-Domänennamen.
Und stellen Sie sicher, dass der Port 88 auf dem AD-Domänencontroller von diesem Server aus zugänglich ist.

• Speichern Sie die Datei.

Schritt 5: Konfigurieren Sie Kerberos SSO für das Site-Verzeichnis

• Bearbeiten Sie die auferlegte Host-Konfigurationsdatei /etc/httpd/conf/httpd.conf
• Fügen Sie den folgenden Abschnitt im Verzeichnis der Site hinzu für mod_auth_kerb.
<Directory "/placeholder">
    AuthType Kerberos
    KrbAuthRealms EXAMPLE.COM
    KrbServiceName HTTP/<Server Host Name>
    Krb5Keytab <PATH TO KEYTAB>
    KrbMethodNegotiate on
    KrbMethodK5Passwd on
    require valid-user
</Directory>


Or



• Fügen Sie den folgenden Abschnitt im Verzeichnis der Site hinzu für mod_auth_gssapi.
LoadModule auth_gssapi_module modules/mod_auth_gssapi.so
<Directory "/placeholder">
    AuthType GSSAPI
    AuthName "Kerberos auth"
    GssapiBasicAuth On
    GssapiCredStore keytab:<PATH TO KEYTAB>
    GssapiLocalName On
    Require valid-user
</Directory>


Im Folgenden sind die Komponenten der obigen Konfiguration aufgeführt:

PFAD ZUM KEYTAB	Zugänglicher Pfad zum Keytab auf diesem Server. (etc/apache2/spn.keytab)
„/Platzhalter“	Pfad zum Dokumentstamm

• Nach dieser Konfiguration muss Apache neu gestartet werden, damit die Änderungen wirksam werden.

• Öffnen Sie die Eingabeaufforderung im Administratormodus.
• Führen Sie den folgenden Befehl aus, um den Dienstprinzipalnamen (SPN) für das Dienstkonto hinzuzufügen.

Hinweis: Angenommen, die Website muss unter http://machinename und http://machinename.domain.com antworten. Diese Adressen müssen wir im SPN-Attribut des Dienstkontos angeben.

Setspn -S http/<computer-name>.<domain-name> <domain-user-account>


Beispiel: C:\Benutzer\Administrator> setspn -S HTTP/Maschinenname.domain.com service_account

Hinweis: „machinename.domain.com“ ist hier der Computername. Stellen Sie sicher, dass es auf dem Windows-Server auflösbar ist, auf dem der AD-Dienst ausgeführt wird.



• Überprüfen Sie, ob dies richtig eingestellt wurde, indem Sie den folgenden Befehl ausführen:
setspn -l domain or service_account


Beispiel: C:\Benutzer\Administrator> setspn -l service_account oder C:\Benutzer\Administrator> setspn -l domain_name


• Das Ergebnis sollte aufgelistet sein http/maschinenname.domain.com


• Öffnen Sie Active Directory-Benutzer und -Computer und wählen Sie im oberen Menü die Option aus Ansicht >> Erweiterte Funktionen.
• Öffnen Sie das Dienstkonto und gehen Sie zu Attributeditor Navigieren Sie zur Registerkarte „ servicePrincipalName, um den SPN-Eintrag zu überprüfen.
• Navigieren Sie zu der Delegation Tab.
• Auswählen Vertrauen Sie diesem Benutzer für die Delegierung an einen beliebigen Dienst (nur Kerberos).


• Klicken Sie auf Kostenlos erhalten und dann auf Installieren. Jetzt bewerben.
• Öffnen Sie den Microsoft Store auf Ihrem Windows-PC. IIS-Manager und klicken Sie auf die Website, für die Sie die Windows-Authentifizierung aktivieren möchten.
• Doppelklicken Sie auf Authentifizierung.

• Im Abschnitt „Authentifizierung“ sehen Sie, dass standardmäßig nur die anonyme Authentifizierung aktiviert ist. IIS versucht immer, eine anonyme Authentifizierung durchzuführen. Deaktivieren Sie daher die anonyme Authentifizierung und aktivieren Sie die Windows-Authentifizierung.

• Klicken Sie mit der rechten Maustaste auf die Windows-Authentifizierung und dann auf die Anbieter.

• Das folgende Fenster wird angezeigt. Stellen Sie sicher, dass „Verhandeln“ in der Anbieterliste ganz oben steht.


Hinweis: Standardmäßig stehen zwei Anbieter zur Verfügung: Negotiate und NTLM. Negotiate ist ein Container, der Kerberos als erste Authentifizierungsmethode verwendet. Wenn die Authentifizierung fehlschlägt, wird NTLM verwendet. Daher ist es erforderlich, dass Negotiate in der Liste der Anbieter an erster Stelle steht.



• Klicken Sie auf Ok , um das Fenster zu schließen.
• Um den IIS-Anwendungspool so zu konfigurieren, dass er über das erstellte SPN-Konto gestartet wird, klicken Sie auf „Anwendungspools“, um das Fenster „Anwendungspools“ zu öffnen.
• Klicken Sie mit der rechten Maustaste auf die Domäne und klicken Sie in der Liste auf „Erweiterte Einstellungen“.

• Klicken Sie im Fenster „Erweiterte Einstellungen“ unter „Prozessmodell“ auf die Identität.

• Wählen Sie in der Anwendungspoolidentität die Option „Benutzerdefiniertes Konto“ aus und klicken Sie auf die Schaltfläche „Festlegen“, um die Identität festzulegen.
• Ändern Sie es von ApplicationPoolIdentity in \ .

Beispiel:domain.com\service_account


• Gehen Sie zum Konfigurationseditor.

• Wählen Sie im Dropdown-Menü system.webServer > Sicherheit > Authentifizierung > WindowsAuthentication aus.

• Ändern Sie „useAppPoolCredentials“ in „True“. und useKernelMode auf False.

Hinweis: Wenn Sie „useAppPoolCredentials“ auf „True“ setzen, bedeutet dies, dass wir IIS erlauben, das Domänenkonto zum Entschlüsseln von Kerberos-Tickets von den Clients zu verwenden.

• Klicken Sie auf Kostenlos erhalten und dann auf Installieren. Nehmen.
• Starten Sie den IIS-Server neu.


• Sie können überprüfen, ob auf der Website die Kerberos-Authentifizierung verwendet wird, indem Sie den HTTP-Verkehr mit Fiddler überwachen.

Starten Sie den Fiddler und starten Sie den Browser mit der gewünschten Website. Suchen Sie die Zeile für den Website-Zugriff auf der linken Seite des Fensters. Wählen Sie auf der rechten Seite des Fensters die Registerkarte „Inspizieren“ aus. Dass Kerberos zur Authentifizierung auf der IIS-Website verwendet wurde, geht aus der Zeile „Authorization Header (Negotiate) scheint ein Kerberos-Ticket zu enthalten“ hervor.

• Öffnen Sie die Eingabeaufforderung im Administratormodus.
• Führen Sie den folgenden Befehl aus, um den Dienstprinzipalnamen (SPN) für das Dienstkonto hinzuzufügen.
Setspn -s http/<computer-name>.<domain-name> <domain-user-account>


Beispiel: C:\Benutzer\Administrator> setspn -S HTTP/Maschinenname.domain.com service_account

Hinweis: „machinename.domain.com“ ist hier der Computername. Stellen Sie sicher, dass es auf dem Windows-Server auflösbar ist, auf dem der AD-Dienst ausgeführt wird.

• Überprüfen Sie, ob dies richtig eingestellt wurde, indem Sie den folgenden Befehl ausführen:
setspn -l domain\service_account

• Das Ergebnis sollte aufgelistet sein http/maschinenname.domain.com
• Öffnen Sie Active Directory-Benutzer und -Computer und wählen Sie im oberen Menü die Option aus Ansicht >> Erweiterte Funktionen.
• Öffnen Sie das Dienstkonto und gehen Sie zu Attributeditor Navigieren Sie zur Registerkarte „ servicePrincipalName, um den SPN-Eintrag zu überprüfen.
• Navigieren Sie zu der Delegation Tab.
• Auswählen Vertrauen Sie diesem Benutzer für die Delegierung an einen beliebigen Dienst (nur Kerberos).


• Klicken Sie auf Kostenlos erhalten und dann auf Installieren. Jetzt bewerben.

• Mehr Info um das Apache-Modul herunterzuladen.
• Kopieren Sie die mod_authnz_sspi.so für Apache24 > Module Ordner und legen Sie es im Verzeichnis „modules“ (C:\xampp\apache\modules) ab.
• Kopieren Sie die sspipkgs.exe Datei von Apache24 -> bin Ordner und platzieren Sie ihn im bin-Ordner Ihres Xampp-Apache-Ordners (.....\xampp\apache\bin) auf Ihrem Webserver.
• Öffnen Sie httpd.conf (...\xampp\apache\conf) und platzieren Sie die folgende Codezeile im Abschnitt LoadModule.
LoadModule authnz_sspi_module modules/mod_authnz_sspi.so

• Stellen Sie sicher, dass die folgenden Module unkommentiert sind:
LoadModule authn_core_module modules/mod_authn_core.so
LoadModule authz_core_module modules/mod_authz_core.so

• Stellen Sie außerdem sicher, dass die LDAP-Erweiterung aktiviert ist.
• Öffnen Sie den Microsoft Store auf Ihrem Windows-PC. httpd.conf Datei aus (.....\xampp\Apache\conf\httpd.conf).
  Gehen Sie zu und fügen Sie die folgenden Zeilen nach #Require all grants ein.
<Directory "...../xampp/htdocs">
......
......
#Require all granted
AllowOverride None Options None
AuthType SSPI
SSPIAuth On
SSPIAuthoritative On
Require valid-user
</Directory>

• Starten Sie Ihren Apache-Server neu.

Die clientseitige Konfiguration ermöglicht es dem jeweiligen Browser, SPNEGO zu verwenden, um die Kerberos-Authentifizierung für den Browser auszuhandeln. Sie müssen sicherstellen, dass der Browser auf dem System eines Endbenutzers für die Unterstützung der Kerberos-Authentifizierung konfiguriert ist.

Allgemeine Kerberos-SSO-Konfiguration für alle Browser

• Gehen Sie zur Systemsteuerung und klicken Sie auf Netzwerk und Internet >> Internetoptionen.
• Dadurch wird ein Internet-Eigenschaftenfenster geöffnet. Klicke auf Sicherheit >> Lokales Intranet >> Websites.



• Danach klicken Sie auf die Schaltfläche Schaltfläche "Erweitert".



• Im Fügen Sie diese Website zur Zone hinzu Fügen Sie im Abschnitt die Website-URL hinzu, auf der Sie sich mit SSO anmelden möchten.


• Klicken Sie auf Kostenlos erhalten und dann auf Installieren. Extras > Internetoptionen > Sicherheit > Lokales Intranet > Stufe anpassen.
• Scrollen Sie nach unten zu den Benutzerauthentifizierungsoptionen und wählen Sie aus Automatische Anmeldung nur in der Intranetzone.

• Klicken Sie auf Ok Klicken Sie auf die Schaltfläche und starten Sie dann Ihren Browser neu.

Sobald Sie mit den oben genannten Einstellungen fertig sind, müssen Sie die Browsereinstellungen für Internet Explorer, Google Chrome und Apple Safari nicht mehr konfigurieren.

1. Internet Explorer

2. Google Chrome

3. Mozilla Firefox

4. Apple Safari

Internet Explorer

Standardmäßig gelten die allgemeinen Browserkonfigurationseinstellungen. Für den Internet Explorer sind keine weiteren zusätzlichen Einstellungen erforderlich.

Google Chrome

Standardmäßig gelten die allgemeinen Browser-Konfigurationseinstellungen, für Google Chrome sind keine weiteren zusätzlichen Einstellungen erforderlich.

Mozilla Firefox

• Öffnen Sie den Mozilla Firefox-Browser und geben Sie ein about: config in der Adressleiste.
• Suchen Sie nach HEIF-Bilderweiterungen. network.negotiate-auth.trusted-uris Wählen Sie den Präferenznamen aus und klicken Sie auf Bearbeiten. Geben Sie den Hostnamen oder die Domäne des Webservers ein, der durch Kerberos HTTP SPNEGO geschützt ist. Geben Sie mehrere Domänen und Hostnamen durch Komma getrennt an.

• Suchen Sie nach HEIF-Bilderweiterungen. network.automatic-ntlm-auth.trusted-uris Geben Sie den Präferenznamen ein und klicken Sie auf Bearbeiten. Geben Sie den Hostnamen oder die Domäne des Webservers ein, der durch Kerberos HTTP SPNEGO geschützt ist. Geben Sie mehrere Domänen und Hostnamen durch Komma getrennt an.

• Klicken Sie auf Kostenlos erhalten und dann auf Installieren. OK und starten Sie dann Ihren Browser neu.

Apple Safari

• Safari unter Windows unterstützt SPNEGO ohne weitere Konfiguration. Es unterstützt sowohl Kerberos als auch NTLM als Submechanismus von SPENGO.

Mit Befehlen überprüfen.

Um Ihre Keytab- und Kerberos-Konfiguration zu überprüfen, können Sie die folgenden Befehle ausführen:

1. Klist

Der Befehl klist zeigt den Inhalt eines Caches oder einer Schlüsseltabelle für Kerberos-Anmeldeinformationen an. Mit diesem Befehl können Sie überprüfen, ob Sie ein gültiges Ticket haben oder nicht.

2. klist -t -k etc/apache2/spn.keytab

Zum Auflisten aller Einträge in der Schlüsseltabelle etc/apache2/spn.keytab mit Zeitstempeln.

3. klist -ek /etc/apache2/spn.keytab

Zeigt den Verschlüsselungstyp für den Sitzungsschlüssel und das Ticket an und listet die Einträge in einer Schlüsseltabelle auf.

4. kinit -V -kt /etc/apache2/spn.keytab -p HTTPS/webserver.yourdomain.com@YOURDOMAIN.COM

Überprüfen Sie die Kerberos-Authentifizierung mit der Keytab-Datei.

5. kdestroy -A

Mit diesem Befehl können Sie unter Linux jedes Kerberos-Token auf Ihrem lokalen Computer zurücksetzen. Der Befehl zerstört Ihr vorheriges Kerberos-Ticket.

6. Klist-Bereinigung

Mit diesem Befehl können Sie unter Windows jedes Kerberos-Token auf Ihrem lokalen Computer zurücksetzen. Der Befehl zerstört Ihr vorheriges Kerberos-Ticket.

Testkonfiguration.

• Um die SSO-Konfiguration zu testen, erstellen Sie eine test.php-Datei in Ihrem WordPress-Stammverzeichnis.
  Geben Sie die folgende Zeile ein:
<?php
var_dump($_SERVER);
?>
• Speichern Sie die Datei und greifen Sie im Webbrowser darauf zu. Sie werden das sehen $_SERVER-Inhalt.
• Suchen Sie nach HEIF-Bilderweiterungen. „REMOTE_USER“ und es sollte den aktuell angemeldeten Benutzernamen enthalten.

Hinweis: Bitte entfernen Sie die Datei test.php, nachdem Sie Ihre Konfiguration überprüft haben. Da es einige wertvolle Informationen enthält.

• Erstellen Sie separate Keytabs für jede Domäne und führen Sie sie mit dem ktutil-Tool zusammen:
ktutil
ktutil: read_kt <keytab_filename_1>
ktutil: read_kt <keytab_filename_2>
ktutil: read_kt <keytab_filename_3>
ktutil: write_kt spn.keytab
ktutil: quit


• Überprüfen Sie die Zusammenführung mit dem folgenden Befehl:
klist -k spn.keytab

• krb5.conf konfigurieren:
  Die Datei krb5.conf enthält Kerberos-Konfigurationsinformationen, darunter KDC- und Admin-Server für einen oder mehrere Kerberos-Bereiche, Standardwerte für den aktuellen Bereich und Zuordnungen von Hostnamen zu Kerberos-Bereichen. Bei mehreren Domänen sollte die Datei krb5.conf mit Informationen zu verschiedenen Domänen/Domänenbereichen aktualisiert werden, damit die Authentifizierung funktioniert.

Dies sind die häufigsten Fehlermeldungen:

kinit: Pre-authentication failed: Invalid argument while getting initial credentials
Der RC4-Verschlüsselungstyp, der in AD-Umgebungen immer noch häufig verwendet wird, in RHEL-8.3 jedoch bereits standardmäßig deaktiviert ist. Sie können sich auf das folgende Beispiel beziehen, um Ihrer Keytab-Datei einen Verschlüsselungstyp hinzuzufügen.
Beispiel:
ktutil
addent -password -p HTTP/<Server Host Name>@EXAMPLE.COM -k 1 -e aes256-cts-hmac-sha1-96
wkt spn.keytab.


Unspecified GSS failure. Minor code may provide more information (Clock skew too great)
or
kinit: krb5_get_init_creds: Too large time skew
Kerberos ist sehr zeitkritisch. Stellen Sie sicher, dass die Uhren auf den Hosts für Active Directory und den Webserver identisch sind. Richten Sie einen Ihrer Domänencontroller als NTP-Server für Ihre Client-Computer ein.


gss_acquire_cred() failed: Unspecified GSS failure. Minor code may provide more information (, Permission denied)
Falsche Dateisystemberechtigungen für /etc/apache2/spn.keytab, dh für den Linux-Benutzer des Webservers nicht lesbar.
Um Dateisystemberechtigungen zu ändern, verwenden Sie chmod 644 /etc/apache2/spn.keytab


gss_acquire_cred() failed: Unspecified GSS failure. Minor code may provide more information (, Key table entry not found).
Fehlender Dienstprinzipal (möglicherweise HTTP/webserver.yourdomain.com@YOURDOMAIN.COM) in /etc/apache2/spn.keytab.


Warning: received token seems to be NTLM, which isn't supported by the Kerberos module. Check your IE configuration. gss_accept_sec_context() failed: An unsupported mechanism was requested (, Unknown error)
Die Website befindet sich nicht in der Zone „Lokales Intranet“ im IE oder der IE ist falsch konfiguriert, siehe Authentifizierung. Verwendet NTLM anstelle von Kerberos.


gss_accept_sec_context() failed: Unspecified GSS failure. Minor code may provide more information (, ).
Falsches KVNO- oder Maschinenkennwort in etc/apache2/spn.keytab. Erstellen Sie die Schlüsseltabelle mit den richtigen Informationen neu.
Problem mit dem lokalen Kerberos-Ticket-Cache auf Ihrer Workstation. Verwenden Sie Kerbtray.exe, um den Ticket-Cache zu leeren und die Website erneut im IE zu öffnen.


kinit: KDC has no support for encryption type while getting initial credentials
Ändern Sie den Standardverschlüsselungstyp im Abschnitt libdefaults der Datei /etc/apache2/krb5.conf. Fügen Sie die default_tgs_enctypes und default_tkt_enctypes zu Ihrer Konfiguration hinzu.
[libdefaults]
default_tgs_enctypes = arcfour-hmac-md5 des-cbc-crc des-cbc-md5
default_tkt_enctypes = arcfour-hmac-md5 des-cbc-crc des-cbc-md5


kinit: krb5_get_init_creds: Error from KDC: CLIENT EXPIRED
or
kinit: Client's entry in database has expired while getting initial credentials
Ihr Kerberos-Konto ist nicht mehr aktiv. Die Zugangsdaten für das Konto müssen erneuert werden.


kinit: krb5_cc_get_principal: No credentials cache file found
or
kinit: krb5_get_init_creds: Error from KDC: CLIENT_NOT_FOUND
Beim Ausführen des Befehls kinit wurde die falsche Domäne als Ziel ausgewählt. Überprüfen Sie den Domänennamen. Er sollte in Großbuchstaben geschrieben sein: EXAMPLE.COM


kinit : Cannot find KDC for requested realm while getting initial credentials
Die Datei /etc/apache2/krb5.conf enthält nicht den Active Directory-Domänennamen (.EXAMPLE.COM).


kinit: Preauthentication failed while getting initial credentials
Verursacht durch versehentliche Eingabe des Kerberos-Passworts. Bitte versuche es erneut. Oder aufgrund der Uhr Ihres Systems. Stellen Sie sicher, dass der Datumsbefehl eine auf 5 Minuten genaue Zeit zurückgibt.


kinit: Client not found in Kerberos database while getting initial credentials
Ihr Kerberos-Prinzipal kann sich von Ihrem Benutzernamen auf Ihrem lokalen System unterscheiden.


kinit: Client's entry in database has expired
Sie müssen Ihr Kerberos-Passwort ändern.