hiểu cơ bản về kerberos sso trong apache

Tôi đang cố định cấu hình kerberos sso trong apache vào lúc này. Trên máy chủ thử nghiệm trang web sub.internal.local hoạt động khá tốt liên quan đến sso lề đường. Khi tôi cố gắng áp dụng cấu hình cho một máy chủ apache khác, được mở qua sub.external.com Tôi chỉ nhận được một cuộc đối thoại đăng nhập.

Vì vậy, theo sự hiểu biết của tôi, tôi cần thay đổi điều gì trong tệp krb5.conf hoặc việc tạo tệp *.keytab?

internal.local là miền thư mục hoạt động nội bộ của chúng tôi;

bên ngoài.com là địa chỉ web mặc định của chúng tôi từ bên ngoài, địa chỉ này cũng hoạt động bên trong do có vùng tra cứu DNS bên trong;

Bạn chưa giải thích rằng bạn đã thực hiện thiết lập cơ bản cho SPNEGO ở đây, vì vậy tôi cho rằng bạn chưa làm.

• Bạn đã tạo hiệu trưởng cho HTTP/sub.external.com trong KDC?
• Bạn có thể nhận được một vé dịch vụ cho HTTP/sub.external.com sử dụng MIT kvno hoặc Windows klist?
• Bạn đã cập nhật keytab trên máy chủ web bằng các khóa của hiệu trưởng bổ sung chưa?
• Bạn đã sử dụng một công cụ như Xoăn để chạy SPNEGO auth và đọc nhật ký?
• Bạn đã định cấu hình trình duyệt để cho phép SPNEGO tại *.external.com (hoặc bất kỳ danh sách trắng tên miền nào phù hợp)?
• Bạn đã xác nhận rằng trình duyệt thực sự thực hiện trao đổi Kerberos bằng cách đọc nhật ký của nó hoặc ít nhất là kiểm tra xem vé cho HTTP gốc có được tìm nạp không?
• Bạn đã đọc nhật ký phía máy chủ chưa?