在 FreeIPA 中,当浏览到 Web UI 时,失败的身份验证会话应该重定向到http://<servername>/browserconfig.html. 我的没有。
也许我把事情复杂化了,但默认的 FreeIPA Apacheipa.conf似乎禁用了目录的非 kerberos 会话。
以下是 ipa.conf 的摘录
# Protect /ipa and everything below it in webspace with Apache Kerberos auth
<Location "/ipa">
AuthType Kerberos
AuthName "Kerberos Login"
KrbMethodNegotiate on
KrbMethodK5Passwd off
KrbServiceName HTTP
KrbAuthRealms <servername>
Krb5KeyTab /etc/httpd/conf/ipa.keytab
KrbSaveCredentials on
KrbConstrainedDelegation on
Require valid-user
ErrorDocument 401 /ipa/errors/unauthorized.html
</Location>
不幸的是,这在我的服务器上不起作用。当我未能通过身份验证时,我会收到一条 404 Not Found 消息。我不确定为什么。
如果从 Web UI(ipa/ui/index.html#something) 调用身份验证,则登录页面应报告失败尝试,不会自动重定向到 browserconfig.html。
从 IPA 4.1 开始的登录页面在右侧的说明部分包含指向 browserconfig.html 的链接。
我实际上不确定您所说的“当我验证失败时,我会收到一条 404 Not Found 消息”,因为您没有指定您已完成的步骤(使用基于 SSO/表单的登录/有一个旧会话) ...