înțelegerea de bază despre Kerberos sso în apache

Încerc să configurez kerberos sso în apache în acest moment. Pe serverul de testare site-ul sub.intern.local funcționează destul de bine cu referire la bordura sso. Când încerc să adopt configurația pe alt server apache, care este deschis prin sub.extern.com Primesc doar un dialog de conectare.

Deci, pentru înțelegerea mea, ce trebuie să schimb în fișierul krb5.conf sau generarea fișierului *.keytab?

internal.local este domeniul nostru intern de director activ;

external.com este adresa noastră web implicită din exterior, care funcționează și intern datorită unei zone interne de căutare DNS;

Nu ați explicat că ați trecut prin configurarea de bază pentru SPNEGO aici, așa că voi presupune că nu ați făcut-o.

• Ai creat un director pentru HTTP/sub.external.com în KDC?
• Puteți obține un bilet de serviciu pt HTTP/sub.external.com folosind fie MIT-uri kvno sau Windows klist?
• Ați actualizat keytab-ul de pe serverul web cu cheile suplimentare ale principalului?
• Ai folosit un instrument ca răsuci pentru a rula auth-ul SPNEGO și a citi jurnalele?
• Ați configurat browserul pentru a permite SPNEGO la *.extern.com (sau orice listă albă de domeniu este potrivită)?
• Ați confirmat că browserul realizează de fapt un schimb Kerberos citind jurnalele sale sau cel puțin verificând dacă este preluat un bilet pentru principalul HTTP?
• Ai citit jurnalele de pe server?