> Nun kann ich mich mit dem Passwort anmelden, allerdings der SSO von Firefox
> oder IE geht immer noch nicht (und keine Meldung ist in der Log zu sehen).
Da prüfen wir mal der Reihe nach:
1. auf dem Apache-Server die Gültigkeit der Krb5Keytab
=========================================
Muß in etwa so aussehen:
$ klist -k /etc/apache2/apache.keytab
Keytab name: FILE:/etc/apache2/apache.keytab
KVNO Principal
---- --------------------------------------------------------------------------
4 HTTP/main.cch.intra@CCH.INTRA
$ kvno HTTP/main.cch.intra@CCH.INTRA
HTTP/main.cch.intra@CCH.INTRA: kvno = 4
$ kvno -k /etc/apache2/apache.keytab HTTP/main.cch.intra@CCH.INTRA
HTTP/main.cch.intra@CCH.INTRA: kvno = 4, keytab entry valid
Die KeyVersionNumber (kvno) kann bei Dir eine andere sein, Hauptsache
in Keytab und auf dem Kerberos-Server gleich.
2. auf dem Rechner, wo Firefox läuft
===========================
- gleiche /etc/krb5.conf wie auf dem Apache-Server?
- gültiges Kerberos-Ticket vorhanden? (ansonsten fällt der Brauser auf
Passwort-Eingabe zurück)
Bekommt man frisch bei Anmeldung oder Bildschirm-Entsperren, wenn das
System korrekt konfiguriert ist.
Ansonsten "$ kinit"
Prüfen geht mit
$ klist
Ticket cache: DIR::/<woauchimmer>
Default principal: dein_login_name@CCH.INTRA
Valid starting Expires Service principal
<Datum, Uhrzeit> <Datum, Uhrzeit> krbtgt/CCH.INTRA@CCH.INTRA
renew until <Datum, Uhrzeit>
3. Firefox - "about:config"
===================
Da muß
network.negotiate-auth.trusted-uris - cch.intra
gesetzt sein. Bei G*gle Ch*me geht da auch "*"
--
William Epler
_______________________________________________
Lug-dd maillist - Lug-dd@mailman.schlittermann.de
https://ssl.schlittermann.de/mailman/listinfo/lug-dd
