Problem mit passwort-basierter Kerberos-Authentifizierung in Apache2

To: "Debian User German Mailingliste" <debian-user-german@lists.debian.org>
Subject: Problem mit passwort-basierter Kerberos-Authentifizierung in Apache2
From: Christian Schneider <chschneider@nurfuerspam.de>
Date: Sat, 24 Nov 2007 00:01:13 +0100
Message-id: <[🔎] 200711240001.13368.chschneider@nurfuerspam.de>

Hallo,

ich betreibe einen MIT-Kerberos v5 u.a. zur Authentifizierung eines 
OpenAFS. Nun soll ein Subversion via Apache2 mit Kerberos neu ins 
Rennen. Die Verbindung läuft standardmäßig über https (sonst will svn 
bzw. libneon offenbar nicht mit der Negotiate-Methode!?). Die 
Negotiate-Methode mit kinit und anschließendem "svn irgendwas" 
funktioniert einwandfrei.

Ist kein Token vorhanden, passiert folgendes: Ich werde mehrfach 
hintereinander nur nach dem Passwort gefragt (ohne erneute Eingabe des 
Benutzernamens!). Manchmal klappt die svn Aktion nach der x-ten 
Passworteingabe; manchmal wird mit folgendem Fehler abgebrochen:

svn: REPORT Anfrage fehlgeschlagen auf »/svn/chsch/!svn/vcc/default«
svn: Not authorized to open root of edit operation

Das ganze habe ich von verschiedenen Rechnern unter verschiedenen 
Benutzernamen probiert.

In /var/log/apache2/error.log finden sich folgende Meldungen:

[Fri Nov 23 23:24:54 2007] [error] [client <ip>] failed to verify krb5 
credentials: Request is a replay
[Fri Nov 23 23:24:54 2007] [error] [client <ip>] failed to verify krb5 
credentials: Request is a replay
[Fri Nov 23 23:24:54 2007] [error] [client <ip>] A failure occurred 
while driving the update report editor  [500, #220000]
[Fri Nov 23 23:24:54 2007] [error] [client <ip>] Not authorized to open 
root of edit operation  [500, #220000]

Irgendwelche Ideen, wo das Problem liegen kann? Ich bin ziemlicher 
Kerberos-Neuling und etwas ratlos.

Vielen Dank im Voraus für Ideen.

Viele Grüße,
Christian

P.S.: Zur Apache2-Konfiguration:

NameVirtualHost *:443
<VirtualHost *:443>
  [...]
  SSLEngine On
  SSLCertificateFile /etc/apache2/ssl/<server>.crt
  SSLCertificateKeyFile /etc/apache2/ssl/<server>.key

  <Location /svn/test>
    DAV svn
    SVNPath /vicepa/svn/test

    AuthType Kerberos
    AuthName "Kerberos v5 Login"
    KrbAuthRealms REALM
    Krb5Keytab /etc/krb5.keytab.http

    Require valid-user

    Order deny,allow
    Deny from all
    Allow from 127.0.0.0/255.0.0.0 <ext_net>/255.255.255.0
  </Location>
  [...]
</VirtualHost>

P.P.S.: BTW: In der Apache2-Standard-Konfiguration (frisch nach der 
Installation) wird beim Apache2-Manual 
(http://<server>/doc/apache2-doc/manual) immer der Inhalt die Datei 
index.html ausgeliefert und nicht die index.html.<lang>, die der 
Sprache des Browsers entspricht. Warum ist das so?

Reply to:

Follow-Ups:
- [SOLVED] Re: Problem mit passwort-basierter Kerberos-Authentifizierung in Apache2
  - From: Christian Schneider <chschneider@nurfuerspam.de>

Prev by Date: Re: ldap userverwaltung weboberfläche
Next by Date: Re: SOHO Server Hardware
Previous by thread: Re: lists.debian.org downtime
Next by thread: [SOLVED] Re: Problem mit passwort-basierter Kerberos-Authentifizierung in Apache2
Index(es):
- Date
- Thread