Apache:x.509和Kerberos身份验证在一起

时间:2014-11-19 04:35:47

标签: apache kerberos x509 shibboleth

我想使用mod_auth_kerb http://modauthkerb.sourceforge.net/在同一个Apache服务器上配置Kerberos身份验证,使用mod_ssl配置客户端x.509证书身份验证。

我需要将SSLVerifyClient指令配置为optional,因为客户端x.509证书不会始终存在 http://httpd.apache.org/docs/2.2/mod/mod_ssl.html#sslverifyclient

以下情况会发生什么:

  1. 启用Kerberos的客户端使用x.509证书访问服务器。 将执行哪些身份验证?
  2. 启用Kerberos的客户端访问没有x.509证书的服务器。 是否会执行Kerberos身份验证并且客户端将成功访问服务器?
  3. 没有Kerberos的客户端使用x.509证书访问服务器。 是否会执行x.509身份验证,客户端是否会成功访问服务器?
  4. 客户端访问没有Kerberos且没有x.509证书的服务器。 将向用户显示什么提示? HTTP 401 NEGOTIATE错误或x.509证书缺失错误?

    5. (如果需要,我可以在新主题中提出以下问题)

    Shibboleth提供的SAML2身份验证的工作方式是否相同? Configure Shibboleth native Service Provider and Apache

1 个答案:

答案 0 :(得分:-1)

将两种方法结合起来绝对没有意义。但请记住,首先建立TLS上下文并交换证书,然后HTTP启动。因此,如果TLS身份验证失败,则无论如何都不会执行其他任何操作。

相关问题
最新问题