topic Re: Client not found in Kerberos DB (Alfresco 4.0d MSAD 2008R2) in Alfresco Archive

Client not found in Kerberos DB (Alfresco 4.0d MSAD 2008R2)

mniess — Mon, 13 Aug 2012 14:59:34 GMT

Hallo Community,so langsam bin ich am Ende meiner Kräfte und hoffe auf freundliche Hilfestellung seitens der Community. Ich würde gerne meiner Abteilung die Möglichkeiten von Alfresco präsentieren, aber mein Weg ist nicht von Erfolg gesäumt ;-)Den ersten Versuch unternahm ich mit dem Betriebssystem

Re: Client not found in Kerberos DB (Alfresco 4.0d MSAD 2008R2)

afaust — Mon, 13 Aug 2012 16:35:09 GMT

Hallo,

die Authentifizierung via kinit unter Linux ist nicht zwangsläufig gleichbedeutend mit einer Java-basierten Authentifzierung des Servers. Wurde Alfresco schon mal mit dem Parameter

-Dsun.security.krb5.debug=true‍

gestartet? Wie sieht die Logausgabe hierzu aus?
Sind u.U. zwei unterschiedliche Services auf den gleichen Nutzeraccount im AD gemappt? Dann könnte dies hier zutreffen: https://issues.alfresco.com/jira/browse/ALF-5994

Mich wundert auch ein wenig das Ergebnis zu

kinit -V -T /etc/alfrescohttp.keytab -p "HTTP.collab.firma.com@FIRMA.COM"‍

Ich hätte erwartet, hier nicht

KerberosV5: AS Request Cname: cifs/collab.firma.com Realm: FIRMA.COM‍

sondern

KerberosV5: AS Request Cname: http/collab.firma.com Realm: FIRMA.COM‍

erwartet. Sind die keytab Dateien korrekt generiert worden?

Das beim Serverstart der Principal "root" angefragt wird, deutet darauf hin, dass ggf. die java.login.config / eingetragenen Principals in der Alfresco Kerberos Konfig nicht korrekt eingetragen bzw. ausgewertet werden. Gerade letztere Dateien (ohne Passphrases u.ä.) wären nützlich, wenn sie hier mit aufgeführt wären. Die Startparameter des Servers (JAVA_OPTS) wären auch recht interessant.

Gruß
Axel

Re: Client not found in Kerberos DB (Alfresco 4.0d MSAD 2008R2)

mniess — Tue, 14 Aug 2012 06:48:36 GMT

Hallo Axel,

erstmal vielen Dank für deine Antwort.
Ich fürchte ich habe das falsche kinit-Kommando mit der Ausgabe von Netmon gepostet. In den Mitschnitten stimmt der Principal mit dem Kommando überein. Der Dreher war schlichtweg
meine Schuld. Ich habe versucht mit kinit die Keyfiles zu prüfen, allerdings entwickeln sich bei mir zunehmend Zweifel ob die Files in Ordnung sind. Hier werde ich wohl weiter ansetzen. Gibt es eine Möglichkeit die Keyfiles eindeutig zu validieren.
Anfänglich habe ich versuchte 2 Services auf dieselben User zu mappen und bin dann auf den von dir geposteten Artikel gestossen. Deswegen habe ich kurzerhand die User gelöscht, neu angelegt und nur noch den neuen Service an die Accounts gebunden. Die Namen der User habe ich allerdings beibehalten.

Anbei die beiden Kerberos-Configfiles, welche ich angepasst habe:

kerberos-authentication.properties

kerberos.authentication.realm=FIRMA.COM
kerberos.authentication.user.configEntryName=Alfresco
kerberos.authentication.defaultAdministratorUserNames=Administrator
kerberos.authentication.cifs.configEntryName=alfrescocifs
kerberos.authentication.cifs.password=Pass123
kerberos.authentication.authenticateCIFS=true

kerberos-filter.properties

kerberos.authentication.http.configEntryName=alfrescohttp
kerberos.authentication.http.password=Pass123
kerberos.authentication.sso.enabled=true
kerberos.authentication.browser.ticketLogons=true

Ich lese mich mal in den von dir genannten Startparameter ein und versuche dir ein vernünftiges Ergebnis zu liefern. Außerdem spiele ich noch ein wenig mit den keytabs rum.

Nochmals vielen Dank für deine Antwort. 😉

Re: Client not found in Kerberos DB (Alfresco 4.0d MSAD 2008R2)

mniess — Tue, 14 Aug 2012 07:05:43 GMT

Hi Axel,

ich nochmal.

Bin gerade hierüber gestolpert.
https://issues.alfresco.com/jira/browse/DOC-109

Eventuell trifft mich das Problem obwohl ich die User gelöscht habe. Ich checke mal mein AD ob noch Leichen von der ersten Instanz an den Usern haften und / oder erstelle neue Accounts unter einem anderen Namen.

PS: Ich fürchte ich weiß mit "-Dsun.security.krb5.debug=true" nichts anzufangen. Das Debug-Level rund um Kerberos in der log4j.properties habe ich bereits hochgedreht.

Update:
- Nachdem der ServicePrincipalName nur ein Attribut des Users ist kann ich den Ansatz wohl ausschliessen. Beide Attribute der beiden User scheinen stimmig zu sein.
- Mein Versuch die Keyfiles über kinit zu überprüfen scheint wertlos zu sein, da folgender Versuch

kinit -V -t /crap -p "HTTP/collab.firma.com"
Using default cache: /tmp/krb5cc_0
Using principal: HTTP/collab.firma.com@FIRMA.COM
Password for HTTP/collab.firma.com@FIRMA.COM:
Authenticated to Kerberos v5

ebenso erfolgreich zu sein scheint und das obwohl es sich bei dem File /crap um eine leere Datei handelt.