Вопросы Теги

Ошибка SSO SAML Splunk от IdP с Apache mod_mellon

Я пытаюсь настроить SSO с IdP на Apache с mod_mellon и прокси-сервером mod на splunk.

Среда: Ubuntu 14.04; Apache 2.4.7; mod-auth-mellon 0.7.0.

Apache настроен с использованием сгенерированного mellon ключа / сертификата на ssl-сайте по умолчанию. mod proxy используется для прокси для локального splunk на порту 8000.

auth_mellon.conf : 

MellonCacheSize 100
MellonLockFile "/var/lock/mod_auth_mellon.lock"
MellonPostDirectory "/var/cache/apache2/mod_auth_mellon/"

ProxyRequests Off
ProxyPass /secret/ !
ProxyPassInterpolateEnv On
<Location />
        MellonEnable "info"
        Require valid-user
        AuthType "Mellon"
        MellonVariable "cookie"
        MellonSamlResponseDump On
        MellonSPPrivateKeyFile /etc/apache2/mellon/urn_splunk.key
        MellonSPCertFile /etc/apache2/mellon/urn_splunk.cert
        MellonSPMetadataFile /etc/apache2/mellon/urn_splunk.xml
        MellonIdpMetadataFile /etc/apache2/mellon/idp-meta.xml
        MellonEndpointPath /secret/endpoint
        MellonUser "NAME_ID"
        MellonDefaultLoginPath /en-US/
        RequestHeader set SplunkWebUser %{MELLON_NAME_ID}e
        MellonSamlResponseDump On

        ProxyPass http://127.0.0.1:8000/
        ProxyPassReverse http://127.0.0.1:8000/
        ProxyPassInterpolateEnv On
</Location>

idp-meta.xml содержит метаданные от IDP (включая сертификат IDP x509 и HTTP Post / HTTP Redirect параметры). urn_service. * Файлы создаются из сценария mellon_create_metadata.sh , который создает сертификат и ключ x509 в конфигурационном файле SP и xml.

Когда я пытаюсь получить доступ к splunk из IdP, я вижу ошибки в файле журнала apache и получите ответ 500 / Internal server error: 

[authz_core:debug] mod_authz_core.c(802): AH01626: authorization result of Require valid-user : denied (no authenticated user yet)
[authz_core:debug] mod_authz_core.c(802): AH01626: authorization result of <RequireAny>: denied (no authenticated user yet)
[core:error] AH00027: No authentication done but request not allowed without authentication for /secret/endpoint/login. Authentication not configured?

Похоже, аутентификация SAML не работает. Я следую этому руководству: http://blogs.splunk.com/2013/10/09/splunk-sso-using-saml-through-okta/

Splunk настроен для аутентификации с помощью LDAP и является аутентификация правильно. Нужно ли также настроить apache с аутентификацией ldap для идентификации допустимых пользователей? (не уверен в том, как пользователи проходят аутентификацию в apache / mellon, предполагалось, что ' ldif для создания пользователя 

dn: uid=test123,ou=Users,dc=zarigatongy,dc=youtube.com
cn: test123
mail: zarigatongy@youtube.com
objectclass: inetOrgPerson
objectclass: top
sn: test123
title: Demo User
uid: test123
userpassword: test1
2
задан 30 November 2015 в 21:38
1 ответ

Вы указываете pwdCheckQuality = 1, который примет пароль, если по какой-то причине его невозможно проверить. pwdMinLength работает, только если пароль не хеширован. Поэтому, если он не может проверить MingLength, пароль будет принят.

Скорее всего, вы передаете серверу хешированный пароль при его создании. http://linux.die.net/man/5/slapo-ppolicy должно помочь, в частности ppolicy_hash_cleartext

1
ответ дан 3 December 2019 в 12:43

Теги

Похожие вопросы