<div dir="ltr"><div><span style="color:rgb(80,0,80);font-family:arial,sans-serif;font-size:12.800000190734863px">Sorry I couldn't reply earlier, somehow I don't receive my own</span><br style="color:rgb(80,0,80);font-family:arial,sans-serif;font-size:12.800000190734863px">
<span style="color:rgb(80,0,80);font-family:arial,sans-serif;font-size:12.800000190734863px">messages.</span><br></div><div><br></div><div>I had set chrome to  --auth-server-whitelist=<a href="http://ipa-server.domain.com">ipa-server.domain.com</a>,</div>
<div>and not --auth-server-whitelist=*<a href="http://domain.com">domain.com</a></div></div><div class="gmail_extra"><br><br><div class="gmail_quote">On Thu, Dec 20, 2012 at 5:33 PM, Simo Sorce <span dir="ltr"><<a href="mailto:simo@redhat.com" target="_blank">simo@redhat.com</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="HOEnZb"><div class="h5">On Thu, 2012-12-20 at 16:38 +0100, Han Boetes wrote:<br>
> Hi,<br>
><br>
><br>
> I followed <a href="http://freeipa.org/page/Apache_SNI_With_Kerberos" target="_blank">http://freeipa.org/page/Apache_SNI_With_Kerberos</a> to enable<br>
> login in to a webserver with kerberos tickets. I followed everything<br>
> to the letter and all looks well.<br>
><br>
><br>
> I can log in with a username and password, but when I set the<br>
> httpd.conf entry to<br>
><br>
><br>
>   KrbMethodK5Passwd off<br>
><br>
><br>
><br>
> I can't log in. What works great with the ipa admin interface does not<br>
> work with this recipe.<br>
><br>
> I even compared it to /etc/httpd/conf.d/ipa.conf and added the<br>
>  KrbAuthRealms setting but to no avail.<br>
><br>
><br>
><br>
> Adding   KrbConstrainedDelegation on does not work alas. Although I am<br>
> using centos 6.3<br>
><br>
><br>
> I checked the http logfiles and the /var/log/krb5kdc.log, everything<br>
> else on that host works fine. I can log in without a password and sudo<br>
> -s works like it should.<br>
><br>
><br>
> Please help me debugging this issue. What am I missing?<br>
<br>
</div></div>Are you using the same fully qualified name you have a keytab for ?<br>
Do you see a ticket for the target server in the user ccache on the<br>
client ?<br>
<span class="HOEnZb"><font color="#888888"><br>
Simo.<br>
<br>
--<br>
Simo Sorce * Red Hat, Inc * New York<br>
<br>
</font></span></blockquote></div><br><br clear="all"><div><br></div>-- <br><br><br><br># Han
</div>