базовое понимание Kerberos SSO в Apache

В данный момент я пытаюсь настроить kerberos sso в apache. На тестовом сервере сайт sub.internal.local довольно хорошо работает применительно к бордюрному ссо. Когда я пытаюсь перенести конфигурацию на другой сервер Apache, который открыт через sub.external.com Я получаю только лог в диалоге.

Итак, насколько я понимаю, что мне нужно изменить в файле krb5.conf или в создании файла *.keytab?

internal.local — наш внутренний домен Active Directory;

external.com — наш внешний веб-адрес по умолчанию, который также работает внутри из-за внутренней зоны поиска DNS;

Вы не объяснили, что прошли базовую настройку SPNEGO здесь, поэтому я предполагаю, что вы этого не сделали.

• Вы создали принципала для HTTP/sub.external.com в КДК?
• Можно ли получить служебный билет для HTTP/sub.external.com используя либо MIT квно или Windows клист?
• Вы обновили keytab на веб-сервере дополнительными ключами принципала?
• Вы использовали такой инструмент, как завиток запустить авторизацию SPNEGO и прочитать логи?
• Настроили ли вы браузер, чтобы разрешить SPNEGO в *.external.com (или любой подходящий белый список доменов)?
• Подтвердили ли вы, что браузер действительно выполняет обмен Kerberos, читая свои журналы или, по крайней мере, проверяя, получен ли билет для принципала HTTP?
• Вы читали журналы на стороне сервера?