Re: Single Sign-on

Victor Sudakov wrote:
> > >>>Делал ли кто Single Sign-on в веб-интерфейс CGP?
> > >>>Пробую делать по http://msdn2.microsoft.com/en-us/library/ms995329.aspx
> > >>>
> > >>>Не совсем понятно, по какому URL браузер должен обратиться к CGP,
> > >>>чтобы получить 401 Access Denied, и дальше чтобы начался процесс
> > >>>аутентификации по Kerberos?
> > >>>
> > >>>Вот заходит юзер на http://mail.my.domain:8100, получает формочку с
> > >>>предложением ввести логин, а где 401-то?

> > >><http://www.stalker.com/CommuniGatePro/WebUser.html#Auto>
> > >>
> > >>http://mail.my.domain:8100/login/
> > >
> > >Спасибо, уже ближе к цели. Но у меня в этом случае CGP предлагает только 
> > >WW-Authenticate: BASIC realm="Login"
> > >
> > >1. keytabs в домене установлены (хотя я не уверен в их корректности, см.
> > >соседнее письмо про дату).
> > >2. У пользователя в свойствах стоит Kerberos Login: Yes
> > >3. в Settings -> Obscure галочка "Advertise GSSAPI/Kerberos method" 
> > >включена.
> > >
> > >Что я ещё мог недоглядеть?
> > 
> > <http://www.stalker.com/CommuniGatePro/HTTP.html#Configuring> - А здесь 
> > включена?
> 
> Включил, хедер "WWW-Authenticate: Negotiate" появился. Правда, браузер
> на него плевать хотел. Пытаемся разобраться, почему.

Ещё раз проверив все настройки браузера, нашли забытую галку. Теперь любуемся на

HTTP/1.1 401 failed to verify Kerberos data

Посмотрел klist.exe, он показывает, что билет у клиента имеется:

   Server: HTTP/mail.sibptus.tomsk.ru@SIBPTUS.TRANSNEFT.RU

      KerbTicket Encryption Type: Kerberos DES-CBC-MD5
      End Time: 1/19/2007 2:08:50
      Renew Time: 1/25/2007 16:08:50

Чем он может не нравиться CGP? Вот что установлено в самом CGP: http://vas.tomsk.ru/Screen25.tif

-- 
Victor Sudakov,  VAS4-RIPE, VAS47-RIPN
sip:sudakov@sibptus.tomsk.ru