为什么我使用pyKerberos(authGSSClientStep)在SSO上找到“没有找到凭证缓存”?

时间:2015-09-28 12:48:29

标签: python apache single-sign-on kerberos mod-auth-kerb

我将SLES11与Python2.6和Apache Web应用程序一起使用。我有一个带Kerberos的Active Directory服务器,我想在我的应用程序中使用SSO。

我已在域EXAMPLE.ORG中创建了服务主体HTTP / host.example.org。此用户映射到虚拟用户app.dmy@EXAMPLE.ORG。

Kerberos在Linux客户端上工作正常,我可以初始化服务主体

kinit -s HTTP / host.example.org app.dmy@EXAMPLE.ORG

klist的 

Ticket cache: FILE:/tmp/krb5cc_0
Default principal: app.dmy@EXAMPLE.ORG

Valid starting     Expires            Service principal
09/28/15 14:27:27  09/28/15 14:37:27  HTTP/host.example.org@EXAMPLE.ORG


Kerberos 4 ticket cache: /tmp/tkt0
klist: You have no tickets cached

我的/etc/krb5.conf看起来像:

  1 [libdefaults]
  2         ticket_lifetime = 600
  3         default_realm = EXAMPLE.ORG
  4         kdc_req_checksum_type = 2
  5         checksum_type = 2
  6         ccache_type = 1
  7         clockskew = 300
  8
  9 [kdc]
 10         profile = /var/lib/kerberos/krb5kdc/kdc.conf
 11
 12 [logging]
 13         kdc = FILE:/var/log/krb5/kdc.log
 14         admin_server = FILE:/var/log/krb5/adm.log
 15         default = FILE:/var/log/krb5/log.log
 16
 17 [realms]
 18 EXAMPLE.ORG = {
 19         kdc = adserver.example.org:88
 20         admin_server = adserver.example.org:749
 21         default_domain = EXAMPLE.ORG
 22 }
 23
 24 [domain_realm]
 25         example.org = EXAMPLE.ORG
 26         .example.org = EXAMPLE.ORG
 27
 28 [login]
 29         krb4_convert = 0

 30 [appdefaults]
 31         pam = {
 32                 ticket_lifetime = 1d
 33                 renew_lifetime = 1d
 34                 forwardable = true
 35                 proxiable = false
 36                 minimum_uid = 1
 37                 clockskew = 300
 38                 external = sshd
 39                 use_shmem = sshd
 40         }

如果我通过apache使用身份验证和 mod_auth_kerb SSO正常工作。 但是我希望能够更好地控制连接,以便禁用apache authentification,并在python(cherrypy framework)中编写自己的模块。

我安装了pyKerberos(Kerberos1.2.2无法正常工作,python崩溃,出现分段错误)。

这是我的python代码:

import kerberos
import base64

service = 'HTTP'
hostname = 'host.example.org'
# env.log(kerberos.checkPassword('app.dmy', 'xxx', service, 'EXAMPLE.ORG')
''' for testing works fine '''
spn = kerberos.getServerPrincipalDetails(service, hostname)
''' result service principla from keytab 
    HTTP/host.example.org@EXAMPLE.ORG'''
status, _ctxt = kerberos.authGSSClientInit(spn)
''' status = 1, _ctxt = context object '''
kerberos.authGSSClientStep(_ctxt, base64.b64encode(""))

我在日志中得到以下结果:

(('Unspecified GSS failure.  Minor code may provide more information', 851968), ('No credentials cache found', -1765328189))

缓存文件存在于tmp中,spn以kinit注册。

1 个答案:

答案 0 :(得分:0)

你正在调用错误的例程。这是服务器端:GSSAPI接受器,即验证HTTP客户端的接收器。你需要调用authGSSServer {Init,Step};就实际的GSSAPI调用而言,gss_accept_sec_context()。您正在调用gss_init_sec_context(),它抱怨默认ccache中没有可用于获取服务器票证的TGT形式的凭据。 Kerberos中的服务器不需要相同类型的凭证;相反,他们有一个带有长期密钥的密钥表,并且不需要联系KDC来验证客户端。

相关问题
最新问题