AnsweredAssumed Answered

Client not found in Kerberos DB (Alfresco 4.0d MSAD 2008R2)

Question asked by mniess on Aug 13, 2012
Latest reply on Aug 14, 2012 by mniess
Hallo Community,

so langsam bin ich am Ende meiner Kräfte und hoffe auf freundliche Hilfestellung seitens der Community. Ich würde gerne meiner Abteilung die Möglichkeiten von Alfresco präsentieren, aber mein Weg ist nicht von Erfolg gesäumt ;-)

Den ersten Versuch unternahm ich mit dem Betriebssystem Windows 2008R2 (wird in der Abteilung favorisiert) und bekam die Kerberosauthentifizierung ans Laufen um letztlich bei der CIFS-Schnittstelle zu scheitern. Das habe ich als Windows-Problem abgehakt und den zweiten Versuch mit Ubuntu 12.04 LTS (wird von mir favorisiert) unternommen. Diesmal bekomme ich leider mit viel Kampf Kerberos nicht ans Laufen.

Natürlich habe ich akribisch die Anleitung "Configuring Kerberos against Active Directory befolgt" und mehrfach getestet und wiederholt, doch leider erhalte ich beim Startup den Fehler
"Client not found in Kerberos Database"
und weiß mir nicht mehr zu helfen.
Über
kinit -V -T /etc/alfrescohttp.keytab -p "HTTP.collab.firma.com@FIRMA.COM"
kann ich mich allerdings fehlerfrei authentifizieren. Ein Mitschnitt mit Netmon zeigt mir in diesem Fall
KerberosV5: AS Request Cname: cifs/collab.firma.com Realm: FIRMA.COM
Beim normalen Startup des Servers erhalte ich folgendes
KerberosV5: AS Request Cname: root Realm: FIRMA.COM

Kann mich bitte jemand in die richtige Richtung schubsen / treten? Sollten Infos fehlen liefere ich diese natürlich gerne nach.


java.login.config
Alfresco {
   com.sun.security.auth.module.Krb5LoginModule sufficient;
};

AlfrescoCIFS {
   com.sun.security.auth.module.Krb5LoginModule required
   storeKey=true
   useKeyTab=true
   keyTab="/etc/alfrescocifs.keytab"
   principal="cifs/collab.firma.com@FIRMA.COM";
};

AlfrescoHTTP {
   com.sun.security.auth.module.Krb5LoginModule required
   storeKey=true
   useKeyTab=true
   keyTab="/etc/alfrescohttp.keytab"
   principal="HTTP/collab.firma.com@FIRMA.COM";
};

com.sun.net.ssl.client {
   com.sun.security.auth.module.Krb5LoginModule sufficient;
};

other {
   com.sun.security.auth.module.Krb5LoginModule sufficient;
};

krb5.conf
[logging]
    default = FILE:/var/log/krb5.log

[libdefaults]
    default_realm = FIRMA.COM
    kdc_timesync = 1
    ccache_type = 4
    forwardable = true
    proxiable = true

[realms]
    FIRMA.COM = {
        kdc = dc1.firma.com
        admin_server = dc1.firma.com
        default_domain = FIRMA.COM
    }

[domain_realm]
    .firma.com = FIRMA.COM
    firma.com = FIRMA.COM

Ich möchte mich vorab bei allen bedanken, die sich Zeit für mich nehmen.

Outcomes