我在 Linux 服务器上的 Plone CMS 安装中使用 netsight.windowsauthplugin 版本 2.3.1。域/领域是一个 Windows 域。我的系统管理员给了我一个 .keytab 文件并设置了 DNS A 和 PTR 记录,我已经配置了 /etc/krb5.conf (就像我在另一台服务器上的 spring java webapp 一样),配置了 zope,但是当我尝试从我的电脑使用 Intrernet Explorer 登录,我收到一个错误:
GSSError: (('Unspecified GSS failure. Minor code may provide more information', 851968), ('No key table entry found matching HTTP/@', 39756033))
我错过了什么?我的 plone python 解释器无法解析正确的名称?它无法读取 keytab 或 krb5.conf 文件?
在 SSO 工作之前,有很多可能/可能出错(或必须正确)。要直接关注您的错误报告,Plone 中的 PAS 插件似乎无法正确获取 GSSAPI 服务名称。
在 github ( https://github.com/netsight/netsight.windowsauthplugin ) 上的最新主版本中,您可以将“GSSAPI 服务”属性添加到存储在 acl_users 中的 SPNEGO 对象中。使用此版本并将 GSSAPI 服务属性设置为“HTTP@www.mydomain.com”。
注意这里的“@”,我认为这在默认值 netsight.windowsauthplugin 计算它添加“/”作为分隔符的位置也是错误的(建议它是一个 SPN,但它是 kerberos 库的 GSSAPI 服务提示。
如果您在此之后遇到其他问题,请先尝试通过添加 KRB5_TRACE=/location/to/krbtrace-mysite.log 环境变量来启用 kerberos 库跟踪,然后再启动您的 Plone 站点(假设您可以从终端运行它一些unixy环境)。此 KRB5_TRACE 仅适用于较新的 kerberos 版本,但当您必须进一步调试时,它将为您提供更多关于出现问题的信息。