Fornecer a autenticação do Active Directory através de protocolo Kerberos na Apache

Antes de introdução
 
Irá necessitar de que deverá dispor antes de continuar este artigo laboratórios experiências com UNIX, Apache, e Kerberos.
 
Ilustrado neste exemplo, vai utilizar 1.0 Linux tao como a distribuição do Linux base. O Linux tao é um dos vários projectos para criar uma distribuição Linux livre a partir da origem utilizada na linha de produtos Enterprise desportivo vermelho. Para mais informações sobre Linux tao, visite o respectivo Web site em http://taolinux.org.
 
O Linux tao é fornecido com 2 Apache e Kerberos 5. Certifique-se com o Guia de utilizador para instalação pacote.
 
Transfira a versão mais recente do mod_auth_kerb do http://modauthkerb.sourceforge.net. Vai utilizar este módulo para fornecer o suporte do protocolo Kerberos no Apache.
 
 
Passo 1
 
Descomprimir mod_auth_krb e siga no ficheiro Leia-me para instalar o módulo ao directório módulos o Apache ' s.
 
# zcat mod_auth_kerb-5.0-RC4.tar.gz | tar xvf -
# CD mod_auth_kerb-5.0-RC4.tar.gz
#. / Configurar--krb4 com-= Não--com-krb5 = / / usr / Kerberos
# Make
Instalação # make
 
 
Passo 2
 
Acrescentar esta linha ao ficheiro de configuração Apache. A localização predefinida para o ficheiro de configuração é /etc/httpd/conf/httpd.Conf.
 
MODULES/mod_auth_kerb.SO auth_kerb_module LoadModule
 
 
Passo 3
 
Criar um ficheiro keytab Kerberos e torná-lo legível por todos. Esta será a entrada de chave para o módulo que tenha sido instalado no passo 1. O formato do ficheiro é HTTP/replace_your_web_server_full_hostname_here@ACTIVE_DIRECTORY_FULL_DOMAIN_NAME
 
# echo HTTP/Intranet.example.com@EXAMPLE.COM > /Path/auth_kerb.keytab
ugo # chmod + r /Path/auth_kerb.keytab
 
 
Passo 4
 
Configurar o ficheiro de configuração Kerberos. A localização predefinida para o ficheiro de configuração é /etc/krb5.Conf. Consulte modelo abaixo. Substituir EXAMPLE.COM pelo domínio do Active Directory ' s FQDN, fully qualified domain name e DC-01/DC-02.example.com com os controladores de domínio dos FQDN.
 
[libdefaults]
 ticket_lifetime = 24000
 default_realm = EXAMPLE.COM
 dns_lookup_realm = FALSE
 dns_lookup_kdc = FALSE
 
[realms]
 EXAMPLE.COM = {
  KDC 01.example.com:88 DC-=
  KDC 02.example.com:88 DC-=
 }
 
[domain_realm]
 exemplo.com = EXAMPLE.COM
 exemplo.com = EXAMPLE.COM
 
[appdefaults]
 Pam = {
   Depurar = FALSE
   ticket_lifetime = 36000
   renew_lifetime = 36000
   forwardable = TRUE
   krb4_convert = FALSE
 }
 
 
Passo 5
 
Criar um ficheiro.htaccess e configurar uma autenticação básica. Consulte modelo abaixo. Substituir /Path/auth_kerb.keytab pela localização do ficheiro keytab e EXAMPLE.COM com o domínio do Active Directory ' s FQDN.
 
AuthName " início de sessão Kerberos "
Kerberos AuthType
/PATH/auth_kerb.keytab Krb5Keytab
KrbAuthRealm EXAMPLE.COM
Desactivar KrbMethodNegotiate
Desactivar KrbSaveCredentials
Desactivar KrbVerifyKDC
Requerer válida-utilizador
 
 
Passo 6
 
Reinicie daemon Apache.
 
Reinício httpd # Service
 
 
Notas
 
Recomenda-se que você túnel a autenticação de palavra-passe básicos através o SSL no Apache utilizando mod_ssl para a palavra-passe vai ser exposta em formato de texto simples não.
 
 
Perguntas e respostas
 
1) Como fazer I testar o ficheiro de configuração Kerberos que eu configurado no passo 4?
 
A: Executar valid_AD_account_username kinit " " e " klist " (sem aspas). Por exemplo::
 
Jdias # kinit
A palavra-passe para jdoe@EXAMPLE.COM: xxxxxxxx
 
# Klist
Bilhetes de cache: FILE / TMP / krb5cc_999
Principal predefinido: jdoe@EXAMPLE.COM
 
Capital expira serviço inicial válido
KRBTGT/EXAMPLE.COM@EXAMPLE.COM: 00: 00 04 / 16 / 04 18: 00: 00 04 / 15 / 04 18
 
Cache da permissão Kerberos 4: / TMP / tkt999
É necessário não bilhetes colocados em cache Klist:
 
Não se esqueça de executar " kdestroy " (sem aspas) para limpar o ficheiro da permissão.