Потрібно, щоб ваш адміністратор Active Directory створив обліковий запис служби, який містить принципи обслуговування Kerberos для вашого інтранет-сервера. SPN або SPN повинні мати вигляд <service>/<hostname>
і містити всі імена хостів та / або псевдоніми DNS, які користувачі використовують для доступу до вашого веб-сайту інтрамережі, таким чином:
http/solarishost.int.example.com
http/solarishost
http/intranet.example.com
Ваш адміністратор Active Directory може витягнути SPN у keytab
файл, який потрібно скопіювати на хост Solaris і налаштувати в Apache. Примітка: http / ім'я хоста SPN також використовується для HTTPS.
У Solaris вам знадобляться інструменти та бібліотеки MIT Kerberos 5, завантажте та встановіть модуль Apache та налаштуйте його.
Зазвичай ви редагуєте глобальний файл конфігурації Kerberos, /etc/krb5/krb5.conf
щоб встановити параметри за замовчуванням, які також використовуватиме mod-auth-curb, важливі, як правило, лише імена REALM, як правило, домен AD AD, ваш домен DNS і сервери KDC - зазвичай контролери домену, які адміністратор AD пропонує вам використовувати.
Конфігурація Apache виглядає приблизно так:
<Location /intranet>
AuthType Kerberos
AuthName "intranet"
KrbMethodNegotiate on
KrbAuthoritative on
KrbVerifyKDC on
KrbAuthRealm YOUR_ACTIVEDIRECTORY_DOMAIN
Krb5Keytab /etc/httpd/intranet.keytab
KrbSaveCredentials off
Require valid-user
</Location>
Деяке розуміння Kerberos та Microsoft AD допомагає, оскільки це може бути складно налагодити для непосвячених. О, і з Kerberos переконайтеся, що ваші годинники синхронізовані.