В один момент перестала работать Kerberos/SSO аутентификация на сайте размещённом на веб-сервере Apache, в логах значатся ошибки вида.

...
[Mon Sep 04 11:04:58.724720 2023] [auth_kerb:error] [pid 19547] [client 10.51.90.61:58932] gss_accept_sec_context() failed: Unspecified GSS failure. Minor code may provide more information (, Cannot find key for HTTP/svc.web@JAKONDA.LOCAL kvno 4 in keytab)
...

JUQwJTlGJUQxJTgwJUQwJUJFJUQwJUIyJUQwJUI1JUQxJTgwJUQxJThGJUQwJUI1JUQwJUJDJTIwJUQxJTgyJUQwJUI1JUQwJUJBJUQxJTgzJUQxJTg5JUQwJUI1JUQwJUI1JTIwJUQwJUI3JUQwJUJEJUQwJUIwJUQxJTg3JUQwJUI1JUQwJUJEJUQwJUI4JUQwJUI1JTIwJUQwJUJEJUQwJUJFJUQwJUJDJUQwJUI1JUQxJTgwJUQwJUIwJUMyJUEwS2V5JTIwVmVyc2lvbiUyME51bWJlciVDMiVBMChLVk5PKSUyMCVEMCVCMiUyMGtleXRhYi0lRDElODQlRDAlQjAlRDAlQjklRDAlQkIlRDAlQjUlM0E=

a2xpc3QlMjAtayUyMCUyRmV0YyUyRnN2Yy53ZWIua2V5dGFi

Keytab name: FILE:/etc/svc.web.keytab
S1ZOTyUyMFByaW5jaXBhbA==
LS0tLSUyMC0tLS0tLS0tLS0tLS0tLS0tLS0tLS0tLS0tLS0tLS0tLS0tLS0tLS0tLS0tLS0tLS0tLS0tLS0tLS0tLS0tLS0tLS0tLS0tLS0t
   2 HTTP/zabbix.jakonda.ru@JAKONDA.LOCAL

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

Такое может получится при внесении изменений в учетную запись, к примеру при смене пароля и т.д., в этом случае все keytab-файлы, которые генерировались ранее для этой учётной записи (где номер KVNO меньше текущего) становятся недействительными.

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

Либо выполнив команду в консоли:

dsquery * -filter sAMAccountName=svc.web -attr msDS-KeyVersionNumber

bXNEUy1LZXlWZXJzaW9uTnVtYmVy
NA==

Исправить эту ошибку просто, нужно лишь сгенерировать новый keytab-файл для учетной записи. Делается все это командой ниже, не забываем подставить свои данные вместо моих.

ktpass -princ HTTP/web.jakonda.ru@JAKONDA.LOCAL -mapuser svc.web@JAKONDA.LOCAL -pass 3T2XgYCz2IFcBUo0altu -crypto ALL -ptype KRB5_NT_PRINCIPAL -out C:\Keytabs\svc.web.keytab

Проверяем текущее значение номера KVNO в вновь сгенерированном keytab-файле и проверяем kerberos аутентификацию с новым keytab-файлом и все должно быть успешно.

a2xpc3QlQzIlQTAtayVDMiVBMCUyRmV0YyUyRnN2Yy53ZWIua2V5dGFi

Keytab name: FILE:/etc/svc.web.keytab 
S1ZOTyVDMiVBMFByaW5jaXBhbCVDMiVBMA==
LS0tLSVDMiVBMC0tLS0tLS0tLS0tLS0tLS0tLS0tLS0tLS0tLS0tLS0tLS0tLS0tLS0tLS0tLS0tLS0tLS0tLS0tLS0tLS0tLS0tLS0tLS0tLS0tJUMyJUEw
NCUyMEhUVFAlMkZ6YWJiaXguamFrb25kYS5ydSU0MEpBS09OREEuTE9DQUw=


a2luaXQlMjAtViUyMC1rJTIwLXQlMjAlMkZldGMlMkZzdmMud2ViLmtleXRhYiUyMEhUVFAlMkZzdmMud2ViJTQwSkFLT05EQS5MT0NBTA==

Using default cache: /tmp/krb5cc_0
Using principal: HTTP/svc.web@JAKONDA.LOCAL
VXNpbmclMjBrZXl0YWIlM0ElMjAlMkZldGMlMkZzdmMud2ViLmtleXRhYg==
Authenticated to Kerberos v5