Хорошо, путем воссоздания моей базы данных Kerberos и добавления принципалов с каждым enctype там было доступно (aes256-cts:normal arcfour-hmac:normal des3-hmac-sha1:normal-des-cbc-crc:normal des:normal des:v4 des:norealm des:onlyrealm de s:afs3) и затем экспорт HTTP/link.to.website@REALM к keytab для апача, Пользователи Active Directory теперь могут войти в систему также.
Вот пример добавления принципала с каждым кодированием и экспортом его к keytab:
addprinc-e "aes256-cts:normal arcfour-hmac:normal des3-hmac-sha1:normal-des-cbc-crc:normal des:normal des:v4 des:norealm des:onlyrealm de s:afs3" HTTP/www.eindwerk.lan
ktadd-e-kt/etc/apache2/apache.keytab HTTP/www.eindwerk.lan "aes256-cts:normal arcfour-hmac:normal des3-hmac-sha1:normal-des-cbc-crc:normal des:normal des:v4 des:norealm des:onlyrealm de s:afs3"
Править: Хорошо, это все, кажется, работает правильно, за исключением того, что Internet Explorer всегда пытается получить билет для HTTP / [TRUSTED_DOMAIN_NAME_IN_WIN_2003] на первой попытке. В моем случае, который переводит в "HTTP/EINDWERK.LAN", в то время как это должен быть "HTTP/NS.EINDWERK.LAN".
Я также заметил, что попытка изменить доменное имя доверия [ИЗОБРАЖЕНИЕ] полностью и абсолютно повреждает любую аутентификацию перекрестной области: TGT's обмениваются правильно, но когда Ваш локальный Linux, KDC пытается на самом деле использовать билет, он обнаруживает, что не может дешифровать его, бросив "PROCESS_TGS: authtime 0, для HTTP/ns.eindwerk.lan@EINDWERK.LAN, Никакой ключ соответствия в записи" ошибка в журнале KDC. Причина этого может состоять в том, что многие механизмы шифрования берут область и имя пользователя как соль, так, чтобы доменное имя действительно было определено правильно.
Можно настроить несколько областей в Вас /etc/krb5.conf
файл на Linux. Посмотрите раздел областей документов Kerberos MIT. Вы могли настроить свою область Windows там и пользователей, которые входят в систему с принципалом, это - часть той области, будет аутентифицироваться против Вашего Windows 2003 Active Directory.
Затем просто необходимо настроить Apache с mod_auth_kerb и удостовериться, что установили KrbAuthRealms
переменная конфигурации для включения всех областей требуется смочь пройти проверку подлинности через Apache.
Если я не пропускаю что-то, эта конфигурация не то, который усложнил и довольно общепринятая практика при использовании мультиобласти конфигурации Kerberos.