通过 IP 地址访问站点时 Kerberos 失败

Question

通过 IP 地址访问受 Kerberos 保护的站点时出现问题。 例如：

http:/10.10.1.x:3001/ 失败。

http:/my-host:3001/sso 成功完成。

Apache 错误日志说：

src/mod_auth_kerb.c(1261): [client 10.10.1.x] 获取信用 HTTP@10.10.1.x [客户端 10.10.1.x] gss_acquire_cred() 失败： 未指定的 GSS 故障。次要代码可能会提供更多信息（关键 未找到表条目）

src/mod_auth_kerb.c(1261): [客户端 10.10.1.x 获取凭据 HTTP@my-host [调试] src/mod_auth_kerb.c(1407): [客户端 10.10.1.x] 使用 KRB5 GSS-API [调试] 验证客户端数据 src/mod_auth_kerb.c(1423): [client 10.10.1.x] 验证返回 代码 0

如您所见，Kerberos 尝试查找 HTTP@10.10.1.x 或 HTTP@my-host 主体。为这两个主体在 ActiveDirectory 中创建了虚拟帐户。在 keytab 文件中也包括了他们两个：

KVNO Timestamp         Principal
---- ----------------- -----------------------------------------------------
   5 01/01/70 03:00:00 HTTP/10.10.1.x@MY_DOMAIN.LAN (ArcFour with HMAC/md5)

  11 09/04/12 12:03:01 HTTP/my-host@MY_DOMAIN.LAN (ArcFour with HMAC/md5)

Kinit 对它们都适用。

服务器上的 Kerberos 配置：

   Krb5Keytab /etc/krb5.keytab
   AuthType Kerberos
   KrbMethodNegotiate On
   AuthName "Kerberos Login"
   KrbAuthRealms MY_DOMAIN.LAN
   KrbVerifyKDC Off
   KrbMethodK5Passwd On
   Require valid-user

有人能猜出问题出在哪里吗？是否可以在 Kerberos SSO 中使用 IP 地址？

Answer 1

Kerberos 不适用于 IP 地址，它仅依赖于域名和正确的 DNS 条目。

Answer 2

在 Microsoft 知识库文章中，它说这是设计使然：

https://support.microsoft.com/en-ca/kb/322979

上述知识库的标题是： 使用 IP 地址连接到 SMB 共享时不使用 Kerberos

Answer 3

我意识到这是一个非常老的话题，但它是任何相关搜索的首选。我认为值得注意的是Microsoft has recently added Kerberos client support using IPv4 and IPv6.

从 Windows 10 版本 1507 和 Windows Server 2016 开始， Kerberos 客户端可以配置为支持 IPv4 和 IPv6 主机名 在 SPN 中。

为了减少禁用 NTLM 的影响，引入了一项新功能 允许管理员在服务中使用 IP 地址作为主机名 主要名称。此功能在客户端上通过 注册表键值。

由于这是一个客户端修复，您的 Kerberos 客户端必须运行适当版本的 Windows 并接收 TryIPSPN 注册表项。您的服务还必须在 Active Directory 中注册一个基于 IP 的 SPN。