Hallo Leute,
ich beziehe mich auf meinen älteren Beitrag von hier: Kerberos/Saml Login funktioniert noch nicht
Da Themen automatisch nach gewisser Zeit Inaktivität geschlossen werden, mache ich hier weiter.
Also, habe eine eigene Testdomäne “supertux.lan” in nem eigenen VLAN aufgesetzt. Diese besteht aus:
- dc1.supertux.lan (Univention Domänen Master)
- vpc-ubuntu (Client)
- mk (CheckMK Server)
Das ganze wurde default konfiguriert und der Kerberoslogin im Webbrowser funktioniert einwandfrei. Nun bin ich an das CheckMK gegangen und hab dies konfiguriert. Ich hab einen neuen SPN am Domänen Master angelegt.
/usr/share/univention-samba4/scripts/create_spn_account.sh \
--samaccountname 'kerberos-serverreader' \
--serviceprincipalname 'myhostsreader/kerberos-serverreader' \
--privatekeytab 'kerberos-serverreader.keytab'
Das hat einwandfrei funktioniert:
root@dc1:~# ktutil --keytab=/var/lib/samba/private/kerberos-serverreader.keytab list
/var/lib/samba/private/kerberos-serverreader.keytab:
Vno Type Principal Aliases
2 des-cbc-crc myhostsreader/kerberos-serverreader@SUPERTUX.LAN
2 des-cbc-crc kerberos-serverreader@SUPERTUX.LAN
2 des-cbc-md5 myhostsreader/kerberos-serverreader@SUPERTUX.LAN
2 des-cbc-md5 kerberos-serverreader@SUPERTUX.LAN
2 arcfour-hmac-md5 myhostsreader/kerberos-serverreader@SUPERTUX.LAN
2 arcfour-hmac-md5 kerberos-serverreader@SUPERTUX.LAN
2 aes128-cts-hmac-sha1-96 myhostsreader/kerberos-serverreader@SUPERTUX.LAN
2 aes128-cts-hmac-sha1-96 kerberos-serverreader@SUPERTUX.LAN
2 aes256-cts-hmac-sha1-96 myhostsreader/kerberos-serverreader@SUPERTUX.LAN
2 aes256-cts-hmac-sha1-96 kerberos-serverreader@SUPERTUX.LAN
Der Webserver kann die Keytab lesen, da die Fehlermeldung mit Unauthorized weg ist. Ein automatischer Login am Checkmk funktioniert trotzdem nicht.
Version: check-mk-raw-1.6.0p13_0.bionic_amd64.deb
Hier nochmal meine aktuelle auth.conf:
<IfModule !mod_auth_kerb.c>
LoadModule auth_kerb_module /usr/lib/apache2/modules/mod_auth_kerb.so
<Location /home>
Order allow,deny
Allow from all
AuthType Kerberos
AuthName "CheckMK Enterprise Login"
KrbServiceName myhostsreader
KrbMethodNegotiate on
KrbMethodK5Passwd off
KrbLocalUserMapping on
KrbSaveCredentials on
# Use Kerberos auth only in case there is no Check_MK authentication
# cookie provided by the user
#Require expr %{HTTP_COOKIE} =~ /auth_/
Require expr %{REQUEST_URI} = "/home/check_mk/register_agent.py"
Require expr %{QUERY_STRING} =~ /(_secret=|auth_|register_agent)/
Require valid-user
# Environment specific: Path to the keytab and the realm
Krb5Keytab /etc/apache2/krb5.keytab.f-mk-mon-p01
KrbAuthRealm SUPERTUX.LAN
# When Kerberos auth fails, show the login page to the user
ErrorDocument 401 /home/check_mk/login.py
</Location>
# These files are accessible unauthenticated (login page and needed ressources)
<LocationMatch /home/(omd/|check_mk/(images/.*\.png|login\.py|.*\.(css|js)))>
Order allow,deny
Allow from all
Satisfy any
</LocationMatch>
In der Apache Error Log kommt jetzt auch keine Fehlermeldung mehr. So falsch kanns in dem Fall ja nicht mehr sein.
Vielen Dank und glg