Есть один Django сайт с SSO Для виндовозных пользователей.
Django-Сайт крутится на Debian 9.5 и настроен Apache2+kerberos -> авторизация в MS AD
генерирую krb5.keytab, помещаю в /etc/ все права есть. Полгода все шло хорошо, как после заметил полнейшую чушь.
Каждый пользователь при входе на сайт требует новый KVNO!!!
powershell> (Get-ADUser django -Properties msDs-keyversionnumber).'msDs-keyversionnumber' этот параметр увеличивается, если смотреть со сторны MS AD
kvno HTTP/django.geo.kr@geo.kr а это со стороны линукса, требуют одинаково.
error.log apache ->
[Wed Apr 17 13:32:20.088678 2019] [auth_kerb:error] [pid 521:tid 140043045795584] [client 172.16.1.228:53767] gss_accept_sec_context() failed: Unspecified GSS failure. Minor code may provide more information (, Cannot find key for HTTP/django.geo.kr@GEO.KR kvno 48 in keytab)
[Wed Apr 17 13:38:49.911527 2019] [auth_kerb:error] [pid 521:tid 140043070973696] [client 172.16.1.228:53831] gss_accept_sec_context() failed: Unspecified GSS failure. Minor code may provide more information (, Cannot find key for HTTP/django.geo.kr@GEO.KR kvno 49 in keytab)
[Wed Apr 17 13:40:37.711319 2019] [auth_kerb:error] [pid 521:tid 140043199571712] [client 172.16.1.228:53870] gss_accept_sec_context() failed: Unspecified GSS failure. Minor code may provide more information (, Cannot find key for HTTP/django.geo.kr@GEO.KR kvno 50 in keytab)
Ну допустим, генерирую новый ключ
ktpass.exe /princ HTTP/django.geo.kr@GEO.KR /mapuser django@geo.kr /crypto ALL /ptype KRB5_NT_PRINCIPAL /mapop set /pass Password /out c:\krb5.keytab /kvno 50 Вставляю, пропускает только того пользователя, который требовал 50й ключ - остальные идут ERR_ACCESS_DENIED
Через часа 4 и он требует новый ключ (это уже нормальное обновление времени). Раньше все сиделаи на KVNO 3й версии