PlugAndPlay

habe ich das aber richtig verstanden das SSO nur dann funktnioniert wenn mann "KrbMethodK5Passwd" auf "off" stellt? Das mit den GPO´s werd ich nochmal mit einen User versuchen auf den keine GPO´s gelten sollten..... Das merkwürdige ist das SSO bei unserem Sharepoint Server ja auch zu funktionieren scheint.

Was mir auch noch aufgefallen ist das anmelden an dem Loginfenster funktioniert mit folgenden Eingaben: "username" und "username@DOMÄNE" aber so nicht "DOMÄNE\username" In der phpinfo steht unter Apache Environment: REMOTE_USER auch "username@DOMÄNE", deshalb gehe ich mal davon aus das der Browser das auch so an Apache gibt. Ich bin langsam echt am verzweifeln :/

Es kommt zumindest mal eine andere Fehlermeldung ^^ und zwar: [error] [client xxx.xxx.xxx.xxx] client denied by server configuration: /var/www/xxx Aber ist das nicht ein Schritt zurück? Ich denke jetzt wird die Authenfizierung erst garnicht ausgeführt :/

nur username..... Meinst du das daran liegen kann das beim SSO mit domäne\username gearbeitet wird? Naja werd das wohl erst am Montag testen können, hab jetzt erstmal 2 Tage Berufsschule ^^

Hier mal ein Screenshot vom Loginfenster:

Ich habe die Einstellungen glaube ich auch unter "Internetoptionen / Sicherheit / Lokales Intranet --> Stufe anpassen --> [benutzerauthenfikation] [Anmelden]" gefunden und habe dort mal zu Testzwecken folgenden eingestellt: "Automatische Anmeldung mit aktuellen Benutzernamen und Password". Aber leider ohne Erfolg :/ EDIT: Was mir auch noch gerade aufgefallen ist, das in dem Anmeldefenster folgendes steht: Der Server "apache" an "" erfordert einen Benutzernamen und Kennwort.... Kann das mit meinem Problem zu tun haben?

Die Seite wird im IE als Intranetseite erkannt. Hast du mir nen Tipp wo diese Einstellungen in den GPOs sind?

OK, danke für die Tipps, die sind schon ganz hilfreich... genau genommen geht es eingentlich um eine Truecrypt Password Datei auf die bei bestehender Internetverbindung zugriffen werden kann und nicht lokal abgelegt wird. Das ganze läuft auf Windows Vista. Die Gegenstelle sollte aber Linux sein.

Hi! Hat mir jemand einen Tipp wie folgendes am besten realisiere: Ich möchte ein Netzlaufwerk das auf einem Server im Internet gemapt ist. Nun soll aber die Verbindung verschlüsselt sein und die Daten auf die zugegriffen wird, sollen nicht auf der Festplatte gecached werden. So das man sagen wir mal nach einem Reboot keine Spur der Daten wiederfindet.

Wie gesagt kommt bei mir jetzt die unten aufgeführte Fehlermeldung... stelle ich aber die "KrbMethodK5Passwd" auf "On"... funktioniert es! Nur eben halt mit einem Eingabe Fenster... ich wollte ja aber eigentlich per SingleSignOn... probiert habe ich es z.B. mit dem IE 6. Dort habe ich die Option "integrierte Windows-Authentifizierung aktivieren" eingeschaltet sowie die Site unter Sicherheit in Intranet aufgenommen! Ich habe es auch mit dem IE7 und Firefox mit angepassten Einstellungen probiert. Alles ohne Erfolg.... Es kommt immer unten aufgeführte Fehlermeldung sobald ich "KrbMethodK5Passwd" auf "Off" stelle. Hast du mir vielleicht einen Tipp?

Hab das jetzt mit deinem Befehl probiert und bekomm jetzt eine andere Fehlermeldung :/ udn zwar: gss_accept_sec_context() failed: Unspecified GSS failure. Minor code may provide more information (Key table entry not found)

Also - der Windows 2003 Server hat ebenfalls SP1 und beim erstellen der Keyfile gab es auch keine Fehlermeldung. - KeepAlive ist in der Apachekonfig ebenfalls aktiviert - Der SMB Deamon läuft, der Winbound Deamon nicht. - Die /etc/nsswitch.conf habe ich nicht angepasst. Was gehört den da normalerweise rein?

Hatte es mit beiden DNS Names versucht... KrbMethodK5Passwd habe ich auf on gestellt aber ebenfalls ohne Erfolg

Hi, ich versuche gerade meinen Apache Server die Kerberos Authenfikation beizubringen aber irgendwie will er nicht so ganz wie ich. Ich bekomme immer folgende Fehlermeldung: gss_acquire_cred() failed: Unspecified GSS failure. Minor code may provide more information (No principal in keytab matches desired name) Ich bin folgendermaße vorgegangen: - In der AD habe ich einen User Names aSSO angelegt - Dann habe ich eine Keyfile mit folgenden Befehl erstellt: "c:\Program Files\Support Tools\ktpass" -princ HTTP/apache_server.mein.lan@MEIN.LAN -crypto DES-CBC-MD5 -ptype KRB5_NT_PRINCIPAL -mapuser aSSO -mapop set +desonly -pass test -out c:\temp\aSSO.keytab - Die Keyfile auf den Apache Server kopiert und die Berechtigung für die Datei vergeben - beim Apache Server den Kerberosmod aktiviert a2enmod auth_kerberos - die /etc/krb5.conf folgendermaßen angepasst [libdefaults] default_realm = MEIN.LAN [realms] MEIN.LAN = { admin_server = dc.mein.lan kdc = dc.mein.lan } [domain_realm] apache_server.mein.lan = MEIN.LAN - folgenden vhost Eintrag verfasst <Directory "/var/www/sso"> Allow from all AuthName "Kerberos" AuthType Kerberos KrbAuthRealms MEIN.LAN KrbServiceName HTTP Krb5Keytab /share/aSSO.keytab KrbMethodNegotiate on KrbMethodK5Passwd off Require valid-user </Directory> Sieht jemand den Fehler? Was vielleicht auch intressant ist: Wenn ich mich mit meinen user kinit und klist ausführe: Ticket cache: FILE:/tmp/krb5cc_0 Default principal: meinuser@MEIN.LAN Valid starting Expires Service principal 04/20/09 10:03:10 04/20/09 20:05:19 krbtgt/MEIN.LAN@MEIN.LAN renew until 04/21/09 10:03:10 Kerberos 4 ticket cache: /tmp/tkt0 klist: You have no tickets cached - wenn ich "kinit -k -t /share/aSSO.keytab HTTP/apache_server.mein.lan" und klist ausführe Ticket cache: FILE:/tmp/krb5cc_0 Default principal: HTTP/apache_server.mein.lan@MEIN.LAN Valid starting Expires Service principal 04/20/09 10:06:03 04/20/09 20:08:09 krbtgt/MEIN.LAN@MEIN.LAN renew until 04/21/09 10:06:03 Kerberos 4 ticket cache: /tmp/tkt0 klist: You have no tickets cached