KRB5CCNAME отсутствует. - Цифровое Кемерово

KRB5CCNAME отсутствует. ⇐ Php

1 сообщение • Страница 1 из 1

Anonymous

Цитата

Сообщение Anonymous » 27 май 2024, 09:48

Проблема в том, что у меня нет KRB5CCNAME в $_SERVER[] (php) для поиска LDAP:
Я вхожу на сервер через Kerberos gssapi, с Ubuntu на Windows Server 2012, используя Samba
На своем сайте (php) авторизуюсь с помощью kerberos, проверил (работает) и хочу найти пользователя с подключением ldap_sasl, но для этого у меня должна быть переменная KRB5CCNAME в $_SERVER, но ее там нет
Мой файл .htaccess содержит следующие строки конфигурации:

Код: Выделить всё

AuthName "Kerberos"
AuthType Kerberos
KrbAuthRealms DOMAIN.RU
KrbServiceName HTTP
Krb5Keytab /etc/httpd_test.keytab #tested, originally is httpd.keytab
KrbMethodNegotiate On
KrbMethodK5Passwd On
KrbLocalUserMapping On
Require valid-user

KrbSaveCredentials On

KrbDelegateBasic On
KrbVerifyKDC Off

Я попробовал, но это не работает с аутентификацией gssapi по этим строкам:

Код: Выделить всё

AuthType GSSAPI
AuthName "GSSAPI"
GssapiBasicAuth On
#GssapiUseS4U2Proxy On
GssapiCredStore keytab:/etc/httpd_test.keytab #tested, originally is httpd.keytab
#GssapiCredStore client_keytab:/etc/httpd_test.keytab
GssapiCredStore ccache:/var/run/apache2/krb5ccache
GssapiDelegCcacheDir /var/run/apache2/clientcaches
GssapiDelegCcacheUnique On
Require valid-user

У него та же проблема, и я не использую его, потому что во многих руководствах говорится о включении KrbSaveCredentials. должно быть требованием для создания KRB5CCNAME
Несколько подробностей:
0. Версии пакетов:
Apache2 (2.4.52)
Linux Ubuntu 22.04.4
PHP 8.2
Kerberos5 (1.19.2)
SMBD (4.15.13-Ubuntu)

Права на:

файлы:

Код: Выделить всё

-rw-r--r-- 1 root root httpd.keytab
-r--r----- 1 www-data www-data  httpd_test.keytab #tested
-rw-r--r-- 1 root root krb5.conf

каталоги:

Код: Выделить всё

drwxrwxrwt  8 root root tmp
drwxr-xr-x  2 root root krb5ccache
drwxr-xr-x  2 root root krb5deleg

Имя пользователя Apache — www-data.

< li>Аутентификация работает нормально, я могу получить доступ к сайту. Определенное имя для входа правильное.

Из моего krb5.conf:

Код: Выделить всё

[libdefaults]
default_realm = DOMAIN.RU

dns_lookup_realm = true
dns_lookup_kdc = true
forwardable = true

kdc_timesync = 1
ccache_type = 4
forwardable = true
proxiable = true

И я проверяю ldap, он работает нормально
С $ldapconn = ldap_connect($ldaphost) и с логином и паролем в коде они находят то, что мне нужно, но хочу ldap_sasl_bind с gssapi
Подозреваю, что где-то не дал права, но не знаю
Где может быть проблема?

Подробнее здесь: https://stackoverflow.com/questions/785 ... is-missing

1716792482

Anonymous

Проблема в том, что у меня нет KRB5CCNAME в $_SERVER[] (php) для поиска LDAP:
Я вхожу на сервер через Kerberos gssapi, с Ubuntu на Windows Server 2012, используя Samba
На своем сайте (php) авторизуюсь с помощью kerberos, проверил (работает) и хочу найти пользователя с подключением ldap_sasl, но для этого у меня должна быть переменная KRB5CCNAME в $_SERVER, но ее там нет 
Мой файл .htaccess содержит следующие строки конфигурации:
[code]AuthName "Kerberos"
AuthType Kerberos
KrbAuthRealms DOMAIN.RU
KrbServiceName HTTP
Krb5Keytab /etc/httpd_test.keytab #tested, originally is httpd.keytab
KrbMethodNegotiate On
KrbMethodK5Passwd On
KrbLocalUserMapping On
Require valid-user

KrbSaveCredentials On

KrbDelegateBasic On
KrbVerifyKDC Off
[/code]
Я попробовал, но это не работает с аутентификацией gssapi по этим строкам:
[code]AuthType GSSAPI
AuthName "GSSAPI"
GssapiBasicAuth On
#GssapiUseS4U2Proxy On
GssapiCredStore keytab:/etc/httpd_test.keytab #tested, originally is httpd.keytab
#GssapiCredStore client_keytab:/etc/httpd_test.keytab
GssapiCredStore ccache:/var/run/apache2/krb5ccache
GssapiDelegCcacheDir /var/run/apache2/clientcaches
GssapiDelegCcacheUnique On
Require valid-user
[/code]
У него та же проблема, и я не использую его, потому что во многих руководствах говорится о включении KrbSaveCredentials. должно быть требованием для создания KRB5CCNAME
Несколько подробностей:
0. Версии пакетов:
Apache2 (2.4.52)
Linux Ubuntu 22.04.4
PHP 8.2
Kerberos5 (1.19.2)
SMBD (4.15.13-Ubuntu)
[list]
[*]Права на:
[/list]
файлы: 
[code]-rw-r--r-- 1 root root httpd.keytab
-r--r----- 1 www-data www-data  httpd_test.keytab #tested
-rw-r--r-- 1 root root krb5.conf
[/code]
каталоги:
[code]drwxrwxrwt  8 root root tmp
drwxr-xr-x  2 root root krb5ccache
drwxr-xr-x  2 root root krb5deleg
[/code]
[list]
[*]Имя пользователя Apache — www-data.

< li>Аутентификация работает нормально, я могу получить доступ к сайту. Определенное имя для входа правильное.

[/list]
Из моего krb5.conf:
[code][libdefaults]
default_realm = DOMAIN.RU

dns_lookup_realm = true
dns_lookup_kdc = true
forwardable = true

kdc_timesync = 1
ccache_type = 4
forwardable = true
proxiable = true
[/code]
И я проверяю ldap, он работает нормально
С $ldapconn = ldap_connect($ldaphost) и с логином и паролем в коде они находят то, что мне нужно, но хочу ldap_sasl_bind с gssapi
Подозреваю, что где-то не дал права, но не знаю
Где может быть проблема? 

Подробнее здесь: [url]https://stackoverflow.com/questions/78537531/krb5ccname-is-missing[/url]