SSO mit apache 2.4 geht nicht (Korrektur: geht!) :-)

[wurzel]

Hi,

ich versuche seit längerem mein OTRS auf Ubuntu 14.04 mit apache2 (2.4.x) und mysql mit einem Windows real Single Sign on einzurichten. Aber ich schaff's nicht.

Ich habe einen Windows 2008 zur Verfügung und heute mal einen AD Server 2012 probiert.
Das klassiche Auth über LDAP läuft einwandfrei.

Der Login über das Kerberos geht:

Code: Select all

root@otrsserver:/etc# kinit -VV -k -t /etc/http.keytab HTTP/otrsserver.domain.local@DOMAIN.LOCAL
Using default cache: /tmp/krb5cc_0
Using principal: HTTP/otrsserver.domain.local@DOMAIN.LOCAL
Using keytab: /etc/http.keytab
Authenticated to Kerberos v5
root@otrsserver:/etc#

Wenn ich aber den Apache jetzt konfiguriere und das AuthBasic aktiviere, das sieht bei mir so aus (habe ich kopiert)

Code: Select all

$Self->{AuthModule} = 'Kernel::System::Auth::HTTPBasicAuth';
$Self->{'AuthModule::HTTPBasicAuth::ReplaceRegExp'} = '^.+?\\\\(.+?)';

und den Apache konfiguriere (in die http-otrs.conf eingetragen) in der <directory> section

Code: Select all

<Directory "/opt/otrs/bin/cgi-bin/">
    AllowOverride None
    Options +ExecCGI -Includes

    AuthType  Kerberos
    KrbAuthRealms DOMAIN.LOCAL
    KrbServiceName HTTP
    Krb5Keytab /etc/httpd.keytab
    KrbMethodNegotiate on
    KrbMethodK5Passwd off
    require valid-user


    <IfModule mod_version.c>
        <IfVersion < 2.4>
            Order allow,deny
            Allow from all
        </IfVersion>
        <IfVersion >= 2.4>
            Require all granted
        </IfVersion>
    </IfModule>
    <IfModule !mod_version.c>
        Order allow,deny
        Allow from all
    </IfModule>

    <IfModule mod_deflate.c>
        AddOutputFilterByType DEFLATE text/html text/javascript text/css text/xml application/json text/json
    </IfModule>
</Directory>

bekomme ich immer den Fehler:

Code: Select all

Mar  3 16:42:04 otrsserver OTRS-CGI-0[9240]: [Notice][Kernel::System::Auth::HTTPBasicAuth::Auth] User: No $ENV{REMOTE_USER} or $ENV{HTTP_REMOTE_USER} !(REMOTE_ADDR: x.x.x.x).
Mar  3 16:42:04 otrsserver OTRS-CGI-0[9240]: [Error][Kernel::System::Auth::LDAP::Auth][Line:123]: Need User!
Mar  3 16:42:04 otrsserver OTRS-CGI-0[9240]: [Error][Kernel::System::User::UserLookup][Line:841]: Need UserLogin or UserID!
Mar  3 16:42:13 otrsserver OTRS-CGI-0[9239]: [Notice][Kernel::System::Auth::HTTPBasicAuth::Auth] User: No $ENV{REMOTE_USER} or $ENV{HTTP_REMOTE_USER} !(REMOTE_ADDR: x.x.x.x).

Ich hab' schon etliche Websiten durchsucht. Aber ich weiß nicht, ob ich die Apache Konfiguration an der richtigen Stelle habe?

Freue mich über Tipps. Hat jemand von Euch eine funktionierende SSO Konfig?

Flo

[wurzel]

Hi,

mhh das muss ich morgen mal testen...
viewtopic.php?t=26802

sonst noch was?

Flo

[Wolfgang72]

Hallo Wurzel,
wir stehen hier vor dem gleichen Problem.
SSO mit Ubuntu 12.04 und Apache 2.2 funktioniert mit Kerberos ohne Probleme.
Auf Ubuntu 14.04. mit Apache 2.4 bekommen wir die gleiche Fehlermeldung wie bei Dir.
Wenn Du eine Lösung hast, wäre ich Dir dankbar, wenn Du diese hier posten könntest.

[wurzel]

Hi,

ja mach ich! Aber bis jetzt hab' ich noch keine Lösung
Hast Du grad mal die apache Konfiguration vom 2.2er Apache für mich?

Flo

[Wolfgang72]

Code: Select all

# This file has to be included inside the Directory or Location directives, that should be protected.
#
# Add a AuthName and require like

AuthType Kerberos
Krb5KeyTab /etc/krb5.keytab
KrbAuthRealms DOMÄNE.DE
KrbLocalUserMapping On
KrbMethodK5Passwd On
KrbMethodNegotiate On
KrbSaveCredentials On
AuthzLDAPAuthoritative Off

[wurzel]

Hi,

hast Du es in der Directory oder in der Location setting drin? (ich hab's im Directory)

Oder in 'ner globalen Config?

ich kann's heute nicht mehr testen, eher morgen (hab im Moment kein Zugriff auf das System)

Flo

[Wolfgang72]

In der "DirectoryMatch"

[wurzel]

Hi,

so jetz hab' ich mal 'n Update. Vorhin konnte ich nochmal das SSO testen.

Ich habe das Kerberos Zeug jetzt in der Location drin und erhalte:

Code: Select all

Wed Mar 04 16:54:51.396096 2015] [auth_kerb:error] [pid 16209:tid 139784030725888] [client x.x.x.x:57206] gss_acquire_cred() failed: Unspecified GSS failure.  Minor code may provide more information (, Key table file '/etc/httpd.keytab' not found)

Ich hatte einen Fehler drin. Das keytab file liegt in /etc/http.keytab und in meiner Apache Config habe ich httpd.keytab drin gehabt.

Nachdem ich das korrigiert hatte, fand' ich neue Fehler:

Code: Select all

[Wed Mar 04 16:57:02.054407 2015] [auth_kerb:error] [pid 16377:tid 140068312299264] [client x.x.x.x:57250] gss_acquire_cred() failed: Unspecified GSS failure.  Minor code may provide more information (, No key table entry found matching HTTP/otrsserver@)

Dann hab' ich mir mal die Config.pm angeschaut:

Code: Select all

$Self->{AuthModule} = 'Kernel::System::Auth::HTTPBasicAuth';
$Self->{'AuthModule::HTTPBasicAuth::Replace'} = 'example_domain\\';
$Self->{'AuthModule::HTTPBasicAuth::ReplaceRegExp'} = '^(.+?)@.+?$';

wenn ich das ReplaceRegExp entferne, erhalte ich:

Code: Select all

[Wed Mar 04 17:08:56.712162 2015] [auth_kerb:error] [pid 16879:tid 140400383223552] [client x.x.x.x:14426] failed to verify krb5 credentials: Wrong principal in request

also werden wohl jetzt die Credentials übergeben. Nur die falschen.
Was nehme ich also bei ReplaceRegExp und/oder Replace ?

Ich teste mal weiter...

Flo

[Wolfgang72]

Hallo Wurzel,
prüfe mal deine Host-Datei.
In der ersten Zeile sollte stehen:

127.0.0.1 testserver.domain.de testserver localhost

[wurzel]

Hi,

ich denke auch an zwei Sachen:

DNS Probleme (der Server nutzt nicht mal einen FQDN) allerdings hab' ich das erstmal nicht direkt unter meiner Kontrolle. Das mit dem Hostnamen... gute Idee!!

Das zweite wäre, dass mein Webserver ggf. keinen Zugriff auf die kerberos Infos hat? Das prüfe ich nachher mal.

Flo

[wurzel]

Hi,

so heute mal 'n Update. Das SSO läuft mehr oder weniger.

was hab' ich gemacht?

DNS korrigiert (das ist wehr wichtig!)

eine neue keytab generiert:

Code: Select all

ktpass -princ HTTP/otrsserver@DOMAIN.LOCAL -mapuser kerberos@DOMAIN.LOCAL -crypto RC4-HMAC-NT ptype KRB5_NT_PRINCIPAL -mapop set -pass
xxx -out C:\temp\http2.keytab

otrs.conf wie folgt:

Code: Select all

    <Location /otrs>
        AuthType Kerberos
        Krb5KeyTab /etc/apache2/http2.keytab
        KrbAuthRealms DOMAIN.LOCAL
        KrbLocalUserMapping On
        KrbMethodK5Passwd On
        KrbMethodNegotiate On
        KrbSaveCredentials On
        require valid-user
(...)

# disabled for SSO
#        <IfModule mod_version.c>
#            <IfVersion < 2.4>
#                Order allow,deny
#                Allow from all
#            </IfVersion>
#            <IfVersion >= 2.4>
#                Require all granted
#            </IfVersion>
#        </IfModule>
#        <IfModule !mod_version.c>
#            Order allow,deny
#            Allow from all
#        </IfModule>

dann der Tipp von hier, eingetragen in die /etc/krb5.conf # https://www.redhat.com/archives/freeipa ... 00183.html

Code: Select all

        ignore_acceptor_hostname = true

meine Config.pm sieht so aus:
my Config.pm looks like this:

Code: Select all

    $Self->{AuthModule} = 'Kernel::System::Auth::HTTPBasicAuth';
    $Self->{'AuthModule::HTTPBasicAuth::Replace'} = 'domain.local\\';
    $Self->{'AuthModule::HTTPBasicAuth::ReplaceRegExp'} = '^(.+?)@.+?$';

und es läuft:

Code: Select all

[Notice][Kernel::System::Auth::HTTPBasicAuth::Auth] User: ldapuser authentication ok (REMOTE_ADDR: 192.168.50.141).

es ist nur total laaahm
und ich muss 1x Username/Passwort im Browser eingeben (es poppt ein Anmeldefenster auf) dann geht's. Zuvor den Server in die Vertrauenswürdigen Seiten hinzugfügt (Intranet)

Morgen schau' ich das mal auf dem Produktivsystem an.



Flo

[wurzel]

Hi,

noch ein Update:

ich habe mal weiter gelesen im Internet...

http://serverfault.com/questions/351594 ... hanism-was

There was problem with principals

Also hab' ich das nochmal neu gemacht mit vollständigen DNS und FQDN und REALMS:

Code: Select all

C:\Users\Administrator>ktpass -princ HTTP/otrsserver.domain.local@DOMAIN.LOCAL
 -mapuser kerberos@DOMAIN.LOCAL -crypto RC4-HMAC-NT ptype KRB5_NT_PRINCIPAL -ma
pop set -pass xxx -out C:\temp\http3.keytab

den Apache entsprechend mit der keytab gefüttert, neu gestartet und die Credentials werden durchgereicht.

Schön gell


Flo

[TamaraS]

Hallo wurzel,

das hört sich echt toll an.
Kannst du das nochmal zusammenfassen? Ich steh da nämlich derzeit tierisch auf dem Schlauch.

Evtl. könntest Du den Inhalt der http-otrs.conf, krb5.conf und der Config.pm posten?

Schöne Grüße
Tamara

[wurzel]

Hi,

sobald ich Zeit finde, mach' ich 'n Artikel oder 'n Blog Eintrag. Habe im Moment keinen Zugriff mehr auf das System.

Flo

[Wolfgang72]

Hallo Flo,
ich habe jetzt das SSO auch hinbekommen.
Es lag an der Einstellung "Require all granted" im Location-Bereich. Dies darf bei SSO nicht gesetzt sein!

Gruß Wolfgang

[wurzel]

Hi,

Danke für das Update. ich hatte da ja auch auskommentiert, aber ich wusste nicht, was passiert.


Ich möchte halt auch sicher gehen, dass ich keine Sicherheitslöcher aufmach. Hast Du zu dem all granted
'ne Beschreibung, in Bezug auf das SSO?

Flo

[alexboehm]

Hallo Zusammen,

ich bekomme es einfach nicht hin mit dem SSO...

Kommentiere ich die Zeile so ein und aus, wie von wurzel beschrieben, kann ich mich gar nicht mehr anmelden. Es erscheint vom IE ein Anmeldefenster, welches aber keine Anmeldung mit einem AD user zulässt (weder beim coustomer noch beim agent).

Kommentiere ich den Teil der "otrs.conf" wieder ein, kann ich mich zumindest mit einem Domänen Benutzer als agent anmelden. Beim Coustomer kommt dirket beim Seitenaufruf der Fehler benutzer nicht gefunden.

Im Eventlog steht folgendes:

Code: Select all

Apr 15 15:05:28 otrssrv OTRS-CGI-28[29579]: [Notice][Kernel::System::CustomerAuth::HTTPBasicAuth::Auth] User: No $ENV{REMOTE_USER} or $ENV{HTTP_REMOTE_USER} !(REMOTE_ADDR: 172.20.60.99)

ich komm da mitlerweile echt nicht mehr weiter...

VG Alex


Edit:

Ich kann es noch etwas Eingrenzen:

Sobald ich in der Config.pm

Code: Select all

#$Self->{'Customer::AuthModule'} = 'Kernel::System::CustomerAuth::HTTPBasicAuth';
#$Self->{'Customer::AuthModule::HTTPBasicAuth::Replace'} ='@MYDOMAIN.CORP';
#$Self->{'Customer::AuthModule::HTTPBasicAuth::ReplaceRegExp'} = '^(.+?)@.+?$';

einkommentiere, kann ich mich am Coustomer Portal nicht mehr anmelden. sobald ich das auskommentiere geht die Anmeldung wieder...

[rajsardhara]

After long testing this is worked for me and is working like charm:

1. First Create Keytab:
Make sure you're able to login using "kinit username"

Code: Select all

echo "HTTP/ad1.xyz.net@XYZ.NET" > /etc/httpd/conf.d/krb5.keytab

2. Config.pm

Code: Select all

$Self->{'AuthModule'} = 'Kernel::System::Auth::HTTPBasicAuth';
$Self->{'AuthModule::HTTPBasicAuth::ReplaceRegExp'} ='@xyz.net';

No additional lines required (Tested for Agent only)

3. Apache Config:: zzz.otrs.conf

Code: Select all

<Location /otrs>
#        ErrorDocument 403 /opt/otrs/customer.pl
        ErrorDocument 403 /opt/otrs/index.pl
        AuthType Kerberos
        Krb5KeyTab /etc/httpd/conf.d/krb5.keytab
        KrbAuthRealms XYZ.NET
        KrbLocalUserMapping On
        KrbMethodK5Passwd On
        KrbMethodNegotiate Off
        KrbSaveCredentials Off
        KrbVerifyKDC Off
        require valid-user
        SetHandler  perl-script
        PerlResponseHandler ModPerl::Registry
        Options +ExecCGI
        PerlOptions +ParseHeaders
        PerlOptions +SetupEnv

#        <IfModule mod_version.c>
#            <IfVersion < 2.4>
#                Order allow,deny
#                Allow from all
#            </IfVersion>
#            <IfVersion >= 2.4>
#                Require all granted
#            </IfVersion>
#        </IfModule>
#        <IfModule !mod_version.c>
#            Order allow,deny
#            Allow from all
#        </IfModule>
    </Location>