Hallo Leute,
CheckMK Version 1.6.0-p10
hab mich an die Anleitung gehalten: https://checkmk.de/cms_kerberos.html
Weiters habe ich mich hier eingelesen: https://help.univention.com/t/working-with-kerberos-principals-and-keytabs/30
Keytab ist draußen. Hier ist meine Authconfig:
<IfModule !mod_auth_kerb.c>
LoadModule auth_kerb_module /usr/lib/apache2/modules/mod_auth_kerb.so
</IfModule>
<Location /home>
Order allow,deny
Allow from all
AuthType Kerberos
AuthName "CheckMK Enterprise Login"
KrbServiceName HTTP
KrbMethodNegotiate on
KrbMethodK5Passwd off
KrbLocalUserMapping on
KrbSaveCredentials on
# Use Kerberos auth only in case there is no Check_MK authentication
# cookie provided by the user
# Require expr %{HTTP_COOKIE} =~ /auth_/
Require expr %{REQUEST_URI} = "/home/check_mk/register_agent.py"
Require expr %{QUERY_STRING} =~ /(_secret=|auth_|register_agent)/
Require valid-user
# Environment specific: Path to the keytab and the realm
Krb5Keytab /etc/apache2/krb5.keytab.f-mk-mon-p01
KrbAuthRealm OSIT.CC
# When Kerberos auth fails, show the login page to the user
ErrorDocument 401 /home/check_mk/login.py
</Location>
# These files are accessible unauthenticated (login page and needed ressources)
<LocationMatch /home/(omd/|check_mk/(images/.*\.png|login\.py|.*\.(css|js)))>
Order allow,deny
Allow from all
Satisfy any
</LocationMatch>
Nur tut es noch nicht. In der ApacheErrorlog kommt dann das:
[Mon Apr 13 01:41:05.513269 2020] [mpm_prefork:notice] [pid 20828] AH00163: Apache/2.4.29 (Ubuntu) mod_wsgi/4.6.4 Python/2.7 mod_fcgid/2.3.9 mod_auth_kerb/5.4 configured -- resuming normal operations
[Mon Apr 13 01:41:05.513417 2020] [core:notice] [pid 20828] AH00094: Command line: '/usr/sbin/apache2 -f /omd/sites/home/etc/apache/apache.conf'
Ich hab das ganze dann so konfiguriert das beim Aufruf von CheckMK nur Kerberos möglich ist. Als Error direkt auf der Seite kommt dann nur “ERR_TOO_MANY_REDIRECTS”.
Vielleicht habe ich das mit der Keytab auch noch nicht ganz verstanden. Also hab keine SPN oder so angelegt. Die Keytab für die Hosts wird ja automatisch am Domänencontroller angelegt. Diese hab ich laut Anleitung exportiert.
Generell funktioniert Kerberos/Saml bei anderen Seiten im Browser. So als Gegencheck das dieser Part past.
Vielen Dank und glg