Problem mit passwort-basierter Kerberos-Authentifizierung in Apache2
Hallo,
ich betreibe einen MIT-Kerberos v5 u.a. zur Authentifizierung eines
OpenAFS. Nun soll ein Subversion via Apache2 mit Kerberos neu ins
Rennen. Die Verbindung läuft standardmäßig über https (sonst will svn
bzw. libneon offenbar nicht mit der Negotiate-Methode!?). Die
Negotiate-Methode mit kinit und anschließendem "svn irgendwas"
funktioniert einwandfrei.
Ist kein Token vorhanden, passiert folgendes: Ich werde mehrfach
hintereinander nur nach dem Passwort gefragt (ohne erneute Eingabe des
Benutzernamens!). Manchmal klappt die svn Aktion nach der x-ten
Passworteingabe; manchmal wird mit folgendem Fehler abgebrochen:
svn: REPORT Anfrage fehlgeschlagen auf »/svn/chsch/!svn/vcc/default«
svn: Not authorized to open root of edit operation
Das ganze habe ich von verschiedenen Rechnern unter verschiedenen
Benutzernamen probiert.
In /var/log/apache2/error.log finden sich folgende Meldungen:
[Fri Nov 23 23:24:54 2007] [error] [client <ip>] failed to verify krb5
credentials: Request is a replay
[Fri Nov 23 23:24:54 2007] [error] [client <ip>] failed to verify krb5
credentials: Request is a replay
[Fri Nov 23 23:24:54 2007] [error] [client <ip>] A failure occurred
while driving the update report editor [500, #220000]
[Fri Nov 23 23:24:54 2007] [error] [client <ip>] Not authorized to open
root of edit operation [500, #220000]
Irgendwelche Ideen, wo das Problem liegen kann? Ich bin ziemlicher
Kerberos-Neuling und etwas ratlos.
Vielen Dank im Voraus für Ideen.
Viele Grüße,
Christian
P.S.: Zur Apache2-Konfiguration:
NameVirtualHost *:443
<VirtualHost *:443>
[...]
SSLEngine On
SSLCertificateFile /etc/apache2/ssl/<server>.crt
SSLCertificateKeyFile /etc/apache2/ssl/<server>.key
<Location /svn/test>
DAV svn
SVNPath /vicepa/svn/test
AuthType Kerberos
AuthName "Kerberos v5 Login"
KrbAuthRealms REALM
Krb5Keytab /etc/krb5.keytab.http
Require valid-user
Order deny,allow
Deny from all
Allow from 127.0.0.0/255.0.0.0 <ext_net>/255.255.255.0
</Location>
[...]
</VirtualHost>
P.P.S.: BTW: In der Apache2-Standard-Konfiguration (frisch nach der
Installation) wird beim Apache2-Manual
(http://<server>/doc/apache2-doc/manual) immer der Inhalt die Datei
index.html ausgeliefert und nicht die index.html.<lang>, die der
Sprache des Browsers entspricht. Warum ist das so?
Reply to: