我试图在Linux机器上调用托管在Apache Web服务器中的Flask API端点(http://monarch.example.com:8080/)。此终结点受IPSec身份验证保护。我使用kinit user来初始化dsp。然后,我使用python kernetlibrary来获取用于API调用的ticket和requests库。我在请求的Authorization头中提供票证。相关代码片段:
`__, krb_context = kerberos.authGSSClientInit("[email protected]")kerberos.authGSSClientStep(krb_context, "")auth_header = ("Negotiate " + kerberos.authGSSClientResponse(krb_context))headers = {"Authorization": auth_header}`
我已经检查了Authorization头是否填充了值。401-未授权的回应/etc/apache2/sites-available/monarch.conf中包含端点的服务的配置为:
<Directory /var/www/monarch>AuthType KerberosAuthName "Acme Corporation"KrbAuthRealms EXAMPLE.COMKrbMethodNegotiate OffKrbSaveCredentials OffKrbVerifyKDC OffKrbMethodK5Passwd On# Krb5Keytab /etc/apache2/http.keytabKrb5keytab /etc/krb5.keytabRequire user [email protected]</Directory>
最后,校长名单如下:
host/[email protected]HTTP/[email protected]K/[email protected]kadmin/[email protected]kadmin/[email protected]krbtgt/[email protected][email protected]root/[email protected]
来自/etc/krb5.keytab的密钥列表是:
slot KVNO Principal---- ---- ---------------------------------------------------------------------1 2 host/[email protected]2 2 host/[email protected]3 2 HTTP/monarch.example.com@EXAMPLE.COM4 2 HTTP/[email protected]
我被这个问题困扰了好几天了。如果有人能在这方面帮助我,那就太好了。
1条答案
按热度按时间jgovgodb1#
你试图发送一个“Negotiate”auth token,但你已经 * 禁用 * 了实际的方法-这就是
KrbMethodNegotiate Off所做的。您唯一启用的是“kpasswd”,即。HTTP基本身份验证,其中服务器仅针对HTTP KDC验证密码。(最重要的是,您甚至禁用了KrbVerifyKDC,缺少它会使密码检查受到微不足道的KDC欺骗攻击。
不要添加不必要的选项;你只需要
Krb5Keytab。尽管在2023年,你可能不应该使用mod_auth_kerb。你应该使用mod_auth_gssapi。
类似地,使用pyspnego或python-gssapi来代替python-kernetary;他们仍然使用相同的libgssapi,但他们有一个更令人愉快的Python API。(也可能不直接使用这些,使用requests-kerberos或requests-gssapi或urllib-gssapi或httpx-gssapi。