Apache - замінити Apache :: AuthenNTLM на Kerberos (mod_auth_kerb)

2

В рамках інтранетної системи в Solaris ми використовуємо perls Apache2 :: AuthenNTLM модуль для автентифікації з сервером Doman Win 2k3, щоб ми могли отримати доступ до ідентифікатора користувача того, хто переглядає сайт.

Переходячи до серверів реклами Win 2012, нам кажуть, що це не підтримуватиме NTLM, який корпорація Microsoft все одно не рекомендує. Чи підходить mod-auth-curb для заміни для цього програмного забезпечення?

Я шукав google і не можу знайти відносну статтю чи підручник, що показує, що mod-auth-curb використовується таким чином. У мене виникають труднощі з початком роботи і можу використати точку в правильному напрямку.

Дякую

apache-2.2  kerberos  perl  ntlm  mod-auth-kerb 
Доктор Аваланш
джерело
Так, ви повинні мати змогу використовувати mod-auth-curb, щоб надати Keberos на базі SSO на apache з Active Directory 2012. Де інструкції щодо встановлення на сайті проекту недоступні?
HBruijn
@HBruijn з модулем perl має чіткий приклад конфігурації, з mod-auth-curb документи (мені) не пояснюють інтеграцію та конфігурацію досить добре для мене. Дякую
Dr.Avalanche

Відповіді:

3

Потрібно, щоб ваш адміністратор Active Directory створив обліковий запис служби, який містить принципи обслуговування Kerberos для вашого інтранет-сервера. SPN або SPN повинні мати вигляд <service>/<hostname>і містити всі імена хостів та / або псевдоніми DNS, які користувачі використовують для доступу до вашого веб-сайту інтрамережі, таким чином:

http/solarishost.int.example.com
http/solarishost
http/intranet.example.com

Ваш адміністратор Active Directory може витягнути SPN у keytabфайл, який потрібно скопіювати на хост Solaris і налаштувати в Apache. Примітка: http / ім'я хоста SPN також використовується для HTTPS.

У Solaris вам знадобляться інструменти та бібліотеки MIT Kerberos 5, завантажте та встановіть модуль Apache та налаштуйте його.

Зазвичай ви редагуєте глобальний файл конфігурації Kerberos, /etc/krb5/krb5.confщоб встановити параметри за замовчуванням, які також використовуватиме mod-auth-curb, важливі, як правило, лише імена REALM, як правило, домен AD AD, ваш домен DNS і сервери KDC - зазвичай контролери домену, які адміністратор AD пропонує вам використовувати.

Конфігурація Apache виглядає приблизно так:

<Location /intranet>
 AuthType           Kerberos
 AuthName           "intranet"
 KrbMethodNegotiate on
 KrbAuthoritative   on
 KrbVerifyKDC       on
 KrbAuthRealm       YOUR_ACTIVEDIRECTORY_DOMAIN
 Krb5Keytab         /etc/httpd/intranet.keytab
 KrbSaveCredentials off
 Require            valid-user
</Location>

Деяке розуміння Kerberos та Microsoft AD допомагає, оскільки це може бути складно налагодити для непосвячених. О, і з Kerberos переконайтеся, що ваші годинники синхронізовані.

HBruijn
джерело
Це виглядає ldeal, набагато чіткіше пояснення. Дуже дякую. Я буду працювати з цим сьогодні
Dr.Avalanche
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.