我将SLES11与Python2.6和Apache Web应用程序一起使用。我有一个带Kerberos的Active Directory服务器,我想在我的应用程序中使用SSO。
我已在域EXAMPLE.ORG中创建了服务主体HTTP / host.example.org。此用户映射到虚拟用户app.dmy@EXAMPLE.ORG。
Kerberos在Linux客户端上工作正常,我可以初始化服务主体
kinit -s HTTP / host.example.org app.dmy@EXAMPLE.ORG
klist的
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: app.dmy@EXAMPLE.ORG
Valid starting Expires Service principal
09/28/15 14:27:27 09/28/15 14:37:27 HTTP/host.example.org@EXAMPLE.ORG
Kerberos 4 ticket cache: /tmp/tkt0
klist: You have no tickets cached
我的/etc/krb5.conf看起来像:
1 [libdefaults]
2 ticket_lifetime = 600
3 default_realm = EXAMPLE.ORG
4 kdc_req_checksum_type = 2
5 checksum_type = 2
6 ccache_type = 1
7 clockskew = 300
8
9 [kdc]
10 profile = /var/lib/kerberos/krb5kdc/kdc.conf
11
12 [logging]
13 kdc = FILE:/var/log/krb5/kdc.log
14 admin_server = FILE:/var/log/krb5/adm.log
15 default = FILE:/var/log/krb5/log.log
16
17 [realms]
18 EXAMPLE.ORG = {
19 kdc = adserver.example.org:88
20 admin_server = adserver.example.org:749
21 default_domain = EXAMPLE.ORG
22 }
23
24 [domain_realm]
25 example.org = EXAMPLE.ORG
26 .example.org = EXAMPLE.ORG
27
28 [login]
29 krb4_convert = 0
30 [appdefaults]
31 pam = {
32 ticket_lifetime = 1d
33 renew_lifetime = 1d
34 forwardable = true
35 proxiable = false
36 minimum_uid = 1
37 clockskew = 300
38 external = sshd
39 use_shmem = sshd
40 }
如果我通过apache使用身份验证和 mod_auth_kerb SSO正常工作。 但是我希望能够更好地控制连接,以便禁用apache authentification,并在python(cherrypy framework)中编写自己的模块。
我安装了pyKerberos(Kerberos1.2.2无法正常工作,python崩溃,出现分段错误)。
这是我的python代码:
import kerberos
import base64
service = 'HTTP'
hostname = 'host.example.org'
# env.log(kerberos.checkPassword('app.dmy', 'xxx', service, 'EXAMPLE.ORG')
''' for testing works fine '''
spn = kerberos.getServerPrincipalDetails(service, hostname)
''' result service principla from keytab
HTTP/host.example.org@EXAMPLE.ORG'''
status, _ctxt = kerberos.authGSSClientInit(spn)
''' status = 1, _ctxt = context object '''
kerberos.authGSSClientStep(_ctxt, base64.b64encode(""))
我在日志中得到以下结果:
(('Unspecified GSS failure. Minor code may provide more information', 851968), ('No credentials cache found', -1765328189))
缓存文件存在于tmp中,spn以kinit注册。
答案 0 :(得分:0)
你正在调用错误的例程。这是服务器端:GSSAPI接受器,即验证HTTP客户端的接收器。你需要调用authGSSServer {Init,Step};就实际的GSSAPI调用而言,gss_accept_sec_context()。您正在调用gss_init_sec_context(),它抱怨默认ccache中没有可用于获取服务器票证的TGT形式的凭据。 Kerberos中的服务器不需要相同类型的凭证;相反,他们有一个带有长期密钥的密钥表,并且不需要联系KDC来验证客户端。