Kerberos Login mit CheckMK im Webbrowser - noch gehts nicht - komplette Testdomäne aufgesetzt

Hallo Leute,

ich beziehe mich auf meinen älteren Beitrag von hier: Kerberos/Saml Login funktioniert noch nicht

Da Themen automatisch nach gewisser Zeit Inaktivität geschlossen werden, mache ich hier weiter.

Also, habe eine eigene Testdomäne “supertux.lan” in nem eigenen VLAN aufgesetzt. Diese besteht aus:

  • dc1.supertux.lan (Univention Domänen Master)
  • vpc-ubuntu (Client)
  • mk (CheckMK Server)

Das ganze wurde default konfiguriert und der Kerberoslogin im Webbrowser funktioniert einwandfrei. Nun bin ich an das CheckMK gegangen und hab dies konfiguriert. Ich hab einen neuen SPN am Domänen Master angelegt.

/usr/share/univention-samba4/scripts/create_spn_account.sh \
  --samaccountname 'kerberos-serverreader' \
  --serviceprincipalname 'myhostsreader/kerberos-serverreader' \
  --privatekeytab 'kerberos-serverreader.keytab'

Das hat einwandfrei funktioniert:
root@dc1:~# ktutil --keytab=/var/lib/samba/private/kerberos-serverreader.keytab list
/var/lib/samba/private/kerberos-serverreader.keytab:

Vno  Type                     Principal                                         Aliases
  2  des-cbc-crc              myhostsreader/kerberos-serverreader@SUPERTUX.LAN  
  2  des-cbc-crc              kerberos-serverreader@SUPERTUX.LAN                
  2  des-cbc-md5              myhostsreader/kerberos-serverreader@SUPERTUX.LAN  
  2  des-cbc-md5              kerberos-serverreader@SUPERTUX.LAN                
  2  arcfour-hmac-md5         myhostsreader/kerberos-serverreader@SUPERTUX.LAN  
  2  arcfour-hmac-md5         kerberos-serverreader@SUPERTUX.LAN                
  2  aes128-cts-hmac-sha1-96  myhostsreader/kerberos-serverreader@SUPERTUX.LAN  
  2  aes128-cts-hmac-sha1-96  kerberos-serverreader@SUPERTUX.LAN                
  2  aes256-cts-hmac-sha1-96  myhostsreader/kerberos-serverreader@SUPERTUX.LAN  
  2  aes256-cts-hmac-sha1-96  kerberos-serverreader@SUPERTUX.LAN  

Der Webserver kann die Keytab lesen, da die Fehlermeldung mit Unauthorized weg ist. Ein automatischer Login am Checkmk funktioniert trotzdem nicht.

Version: check-mk-raw-1.6.0p13_0.bionic_amd64.deb

Hier nochmal meine aktuelle auth.conf:
<IfModule !mod_auth_kerb.c>
LoadModule auth_kerb_module /usr/lib/apache2/modules/mod_auth_kerb.so

<Location /home>
  Order allow,deny
  Allow from all

  AuthType Kerberos
  AuthName "CheckMK Enterprise Login"
  KrbServiceName myhostsreader
  KrbMethodNegotiate on
  KrbMethodK5Passwd off
  KrbLocalUserMapping on
  KrbSaveCredentials on

  # Use Kerberos auth only in case there is no Check_MK authentication
  # cookie provided by the user
  #Require expr %{HTTP_COOKIE} =~ /auth_/
  Require expr %{REQUEST_URI} = "/home/check_mk/register_agent.py"
  Require expr %{QUERY_STRING} =~ /(_secret=|auth_|register_agent)/
  Require valid-user

  # Environment specific: Path to the keytab and the realm
  Krb5Keytab /etc/apache2/krb5.keytab.f-mk-mon-p01
  KrbAuthRealm SUPERTUX.LAN

  # When Kerberos auth fails, show the login page to the user
  ErrorDocument 401 /home/check_mk/login.py
</Location>

# These files are accessible unauthenticated (login page and needed ressources)
<LocationMatch /home/(omd/|check_mk/(images/.*\.png|login\.py|.*\.(css|js)))>
  Order allow,deny
  Allow from all
  Satisfy any
</LocationMatch>

In der Apache Error Log kommt jetzt auch keine Fehlermeldung mehr. So falsch kanns in dem Fall ja nicht mehr sein.

Vielen Dank und glg

This topic was automatically closed 30 days after the last reply. New replies are no longer allowed.