مصادقة مستخدم Kerberos في Apache
-
09-06-2019 - |
سؤال
هل يمكن لأي شخص أن يوصي ببعض الموارد الجيدة حقًا لكيفية الحصول على مصادقة Apache للمستخدمين باستخدام Kerberos.
قد تكون قراءة الخلفية على Kerberos مفيدة أيضًا
شكرًا
نفذ
المحلول
تعتبر mod_auth_kerb بداية جيدة: http://modauthkerb.sourceforge.net/.إذا كنت بحاجة إلى دعم Active Directory، فابحث هنا: http://support.microsoft.com/?id=555092.
نصائح أخرى
لقد وجدت أن mod_auth_spnego أيضًا جيد تمامًا، حيث يمكنه استخدام SSPI على النوافذ بدلاً من طلب MIT Kerberos. mod_spnego
فيما يلي مثال لاستخدام Active Directory باعتباره KDC:http://oslabs.mikro-net.com/krb_apache.html
لقد أحببت هذه المقالة حول تكوين Apache لاستخدام Kerberos:
http://www.roguelynn.com/words/Apache-kerberos-for-Django/
(يمكنك تخطي أجزاء حول Django إذا لم تكن مهتمًا)
يحرر:
إجابة كاملة
من السهل جدًا تكوين Apache لاستخدام مصادقة Kerberos.
أفترض أنك قمت بتكوين Kerberos بشكل صحيح على جهازك.
1) يجب أن يحتوي خادم الويب الخاص بك على لوحة مفاتيح [1].
خلاصة القول، خادم الويب الخاص بك لديه لتتمكن من قراءة لوحة المفاتيح!
2) يجب أن يكون لديك وحدة httpd مناسبة للمصادقة - mod_auth_kerb
:
LoadModule auth_kerb_module modules/mod_auth_kerb.so
3) ثم عليك أن تخبر أباتشي عن Kerberos:
<Location />
AuthName "Kerberos Authentication -- this will be showed to users via BasicAuth"
AuthType Kerberos
KrbMethodNegotiate On
KrbMethodK5Passwd Off
# this is the principal from your keytab (you may lose the FQDN part)
KrbServiceName HTTP/$FQDN
KrbAuthRealms KERBEROS_DOMAIN
Krb5KeyTab /path/to/http.keytab
Require valid-user
Order Deny,Allow
Deny from all
</Location>
ثم سيقوم Apache بتمرير المستخدم إلى تطبيقك عبر REMOTE_USER
رأس HTTP.
وهذا كل شيء.
أنصحك أيضًا بتشغيل تصحيح الأخطاء وتسجيل الدخول في Apache أثناء الإعداد.تأكد من أن لديك الوقت الصحيح وأن httpd يمكنه قراءة لوحة المفاتيح، هذا كل شيء.
[1] http://kb.iu.edu/data/aumh.html
[2] المصدر الرئيسي: http://www.roguelynn.com/words/Apache-kerberos-for-Django/