Kerberos 티켓을 사용하여 WebDAV에 액세스

tag-icon tag-icon windows kerberos webdav mod-auth-kerb
Kerberos 티켓을 사용하여 WebDAV에 액세스

Apache의 mod_dav를 서버로, Samba 4.1.17을 서버로, Windows 7 이상의 모든 버전을 클라이언트로 사용하여 인증을 위해 Kerberos를 사용하여 WebDAV 공유를 어떻게 마운트할 수 있습니까?

현재 WebDAV와 Kerberos가 IE와 Firefox 사용자 에이전트 모두에서 작동하는 것으로 확인되었습니다. 다음은 IE 작동의 예입니다.

[23/Aug/2015:15:22:56 +0100] "GET / HTTP/1.1" 200 1062 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 10.0; Trident/8.0; .NET4.0C; .NET4.0E)"
[23/Aug/2015:15:22:59 +0100] "GET /favicon.ico HTTP/1.1" 404 778 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 10.0; Trident/8.0; .NET4.0C; .NET4.0E)"

매핑하거나 탐색하려고 하면 항상 실패하며 Apache에서 기록하는 유일한 오류는 401 오류입니다.

[23/Aug/2015:15:23:21 +0100] "OPTIONS / HTTP/1.1" 401 814 "-" "Microsoft-WebDAV-MiniRedir/10.0.10240"
[23/Aug/2015:15:23:21 +0100] "OPTIONS / HTTP/1.1" 401 813 "-" "Microsoft-WebDAV-MiniRedir/10.0.10240"
[23/Aug/2015:15:23:21 +0100] "OPTIONS / HTTP/1.1" 401 813 "-" "Microsoft-WebDAV-MiniRedir/10.0.10240"
[23/Aug/2015:15:23:21 +0100] "OPTIONS / HTTP/1.1" 401 813 "-" "Microsoft-WebDAV-MiniRedir/10.0.10240"

Windows에서는 해당 예제가 HTTPS가 아니고 (의도적으로) 레지스트리에서 HTTPS 없이 기본 인증을 활성화하지 않았기 때문에 "사용자가 인증되지 않았기 때문에 요청한 작업이 수행되지 않았습니다"라고 보고합니다.

해당 요청에 대한 원시 HTTP는 다음과 같습니다.

OPTIONS / HTTP/1.1
Connection: Keep-Alive
User-Agent: Microsoft-WebDAV-MiniRedir/10.0.10240
translate: f
Host: dav.exmaple.com

서버는 다음과 같이 응답합니다.

HTTP/1.1 401 Authorization Required
Date: Sun, 23 Aug 2015 18:31:13 GMT
Server: Apache/2.2.22 (Debian)
WWW-Authenticate: Negotiate
WWW-Authenticate: Basic realm="Kerberos Login"
Vary: Accept-Encoding
Content-Length: 484
Keep-Alive: timeout=5, max=99
Connection: Keep-Alive
Content-Type: text/html; charset=iso-8859-1

클라이언트가 나에게 협상하려는 서버의 시도를 완전히 무시하고 있는 것 같습니다.

나는 읽었다많은 정보어떻게하는지혼란스러운그리고손상된 WebDAV 클라이언트Windows에 있으므로 이전 작업(/upload/private)이 작동하지 않았을 때 WebDAV가 전체 네임스페이스에 대해 활성화되고 이 예에서 사용되는 비필수 SSL에 대해 별도의 하위 도메인을 설정했습니다.

사용된 인증서는 클라이언트에 의해 신뢰되며 HTTP 및 HTTPS 사례 모두 (거의) 동일하게 실패합니다. 유일한 차이점은 HTTPS를 사용하는 경우 자격 증명 선택기가 표시되지만 수동으로 자격 증명을 입력하고 기본 인증 경로로 이동하고 싶지 않다는 것입니다.

나는 또한 다음을 사용하여 마운트를 시도했습니다.

net use \\dav.example.com *
net use \\dav.example.com\ *
net use http://dav.example.com/ *
net use http://dav.example.com *
net use \\dav.example.com@SSL *
net use \\dav.example.com@SSL\ *
net use https://dav.example.com/ *
net use https://dav.example.com *

모두 같은 실패입니다.

무엇을 제공합니까? WebDAV 미니 리디렉터가 인증에 Kerberos를 사용하도록 어떻게 설득할 수 있습니까? 심지어 가능합니까? 여기서 최종 목표는 사용자를 위한 진정한 SSO입니다.

답변1

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WebClient\Parameters AuthForwardServerList 항목을 살펴보셨나요(KB 943280)?

이것은 나에게 효과적입니다.

관련 정보