文章編號: 555092 - 上次校閱: 2004年4月21日 - 版次: 1.0

提供在 Apache Kerberos 通訊協定透過 Active Directory 驗證

作者?Alex Yu MVP
中英文對照顯示按一下這裡顯示機器翻譯的中英文對照
機器翻譯檢視機器翻譯免責聲明
Community Solutions Content社群解決方案內容免責聲明
檢視此文章適用的產品。
系統提示本文適用於您使用的作業系統之外的作業系統。與您不相關的文章內容已停用。
全部展開 | 全部摺疊

其他相關資訊

在使用者入門
?
您要在繼續進行前先在本篇文章有實務經驗與 UNIX、 Apache 和 Kerberos。
?
在這個範例, 我將會使用 Tao Linux 1.0 做為基底 Linux 散發。 Tao Linux 是的數個專案來建置可用的 Linux 散發從 Red Hat Enterprise 產品線中使用來源之一。 如需 Tao Linux, 請請造訪其網站, http://taolinux.org.
?
Apache 2 和 Kerberos 5 隨附 Tao Linux。 請檢查與指南 》 以取得套件安裝使用者。
?
下載最新版本的從 mod_auth_kerb http://modauthkerb.sourceforge.net. 我們將會使用本單元, 以提供在 Apache Kerberos 通訊協定支援。
?
?
步驟 1
?
解壓縮 mod_auth_krb 並遵循讀檔案來安裝該模組至您的 Apache 的模組目錄。
?
# zcat mod_auth_kerb - 5.0 - rc4.tar.gz tar xvf - |
# cd mod_auth_kerb - 5.0 - rc4.tar.gz
with - krb5 =/ / usr / kerberos # = no -- 設定 -- krb4 with - /
# make
# make 安裝
?
?
步驟 2
?
這行附加至 Apache 組態檔案。 對組態檔預設位置是 /etc/httpd/conf/httpd.conf。
?
LoadModule auth_kerb_module modules/mod_auth_kerb.so
?
?
步驟 3
1 1:Option 選項:?
建立 Kerberos keytab 檔並使其可讀取由所有。 這將會是機碼項目為模組包含您在步驟 1 中已安裝。 該檔案的格式為 HTTP/replace_your_web_server_full_hostname_here@ACTIVE_DIRECTORY_FULL_DOMAIN_NAME
?
# echo HTTP/intranet.example.com@EXAMPLE.COM /path/auth_kerb.keytab >
# chmod ugo + r /path/auth_kerb.keytab
?
?
步驟 4
?
設定 Kerberos 組態檔。 對組態檔預設位置是 /etc/krb5.conf。 請參閱以下範本。 取代為您的 Active Directory 網域的 FQDN 及 dc-01/dc-02.example.com 含有您的網域控制站的 FQDN EXAMPLE.COM。
?
[ libdefaults ]
?ticket_lifetime = 24000
?default_realm = EXAMPLE.COM
?dns_lookup_realm = false
?dns_lookup_kdc = false
?
[ 領域 ]
?EXAMPLE.COM = {
? kdc = dc - 01.example.com:88
? kdc = dc - 02.example.com:88
?}
?
[ domain_realm ]
?example . com = EXAMPLE.COM。
?example . com = EXAMPLE.COM
?
[ appdefaults ]
?pam = {
?? 偵錯 = false
?? ticket_lifetime = 36000
?? renew_lifetime = 36000
?? forwardable = true
?? krb4_convert = false
?}
?
?
步驟 5
1 1:Option 選項:?
建立 .htaccess 檔並設定基本驗證。 請參閱以下範本。 替換 /path/auth_kerb.keytab keytab 檔案和 EXAMPLE.COM 含有您的 Active Directory 網域的 FQDN 的位置。
?
AuthName " Kerberos 登入 」
AuthType Kerberos
Krb5Keytab /path/auth_kerb.keytab
KrbAuthRealm EXAMPLE.COM
關閉 KrbMethodNegotiate
關閉 KrbSaveCredentials
關閉 KrbVerifyKDC
需要有效 - 使用者
?
?
步驟 6
?
重新啟動 Apache 常駐程式。
?
# service httpd 重新啟動
?
?
備忘稿
?
我們建議您透過 SSL 在 Apache 使用 mod_ssl 所以密碼不會以純文字格式將公開基本密碼驗證通道。
?
?
問題和解答
?
1) 的方式我測試 Kerberos, 我在步驟 4 中設定的組態檔嗎 ?
?
答:: 執行 「 kinit valid_AD_account_username " 和 " klist " (不含英文引號)。 舉例來說:
?
# kinit jdoe
密碼 jdoe@EXAMPLE.COM XXXXXXXX:
?
# Klist
FILE / tmp / krb5cc_999 票證快取:
預設主體 jdoe@EXAMPLE.COM:
?
有效的起始 Expires 服務主體
04 / 15 / 04 18: 00: 04 / 16 / 04 18: 00: 00 krbtgt/EXAMPLE.COM@EXAMPLE.COM
?
Kerberos 4 票證快取 / tmp tkt999:
您有沒有快取票證 Klist:
?
不要忘記要執行 「 kdestroy " (不含英文引號), 以清除出票證檔案。
這篇文章中的資訊適用於:
  • Microsoft Windows Server 2003, Enterprise Edition
  • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003, Datacenter Edition
  • Microsoft Windows Server 2003, Standard Edition
  • Microsoft Windows Services for UNIX 3.0 Standard Edition
  • Microsoft Peer Web Services 3.0
回此頁最上方
關鍵字:?
kbpubtypecca kbpubmvp kbhowto KB555092 KbMtzh kbmt
機器翻譯機器翻譯
重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,而非使用人工翻譯而成。Microsoft 同時提供使用者人工翻譯及機器翻譯兩個版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,機器翻譯的文章可能不盡完美。這些文章中也可能出現拼字、語意或文法上的錯誤,就像外國人在使用本國語言時可能發生的錯誤。Microsoft 不為內容的翻譯錯誤或客戶對該內容的使用所產生的任何錯誤或損害負責。Microsoft也同時將不斷地就機器翻譯軟體進行更新。如果您發現錯誤,並想要協助我們進行改善,請填寫本篇文章下方的問卷。
按一下這裡查看此文章的英文版本:555092? (http://support.microsoft.com/kb/555092/en-us/ )
回此頁最上方
Community Solutions Content社區解決方案內容免責聲明
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。
回此頁最上方