Autenticazione utente Kerberos in Apache

StackOverflow https://stackoverflow.com/questions/43459

  •  09-06-2019
  •  | 
  •  

Domanda

qualcuno può consigliare alcune risorse davvero valide su come ottenere l'autenticazione di Apache per gli utenti con Kerberos.

Sarebbe utile anche una lettura di base su Kerberos

Grazie

Peter

È stato utile?

Soluzione

mod_auth_kerb è un buon inizio: http://modauthkerb.sourceforge.net/.Se hai bisogno del supporto di Active Directory, guarda qui: http://support.microsoft.com/?id=555092.

Altri suggerimenti

Ho trovato che anche mod_auth_spnego va bene, poiché può utilizzare SSPI su Windows invece di richiedere MIT Kerberos. mod_spnego

Ecco un esempio che utilizza Active Directory come KDC:http://oslabs.mikro-net.com/krb_apache.html

Mi è piaciuto questo articolo sulla configurazione di Apache per utilizzare Kerberos:

http://www.roguelynn.com/words/apache-kerberos-for-django/

(puoi saltare le parti su Django se non sei interessato)

MODIFICARE:

Risposta completa

È abbastanza semplice configurare Apache per utilizzare l'autenticazione Kerberos.

Presumo che tu abbia configurato correttamente Kerberos sul tuo computer.

1) Il tuo server web deve avere keytab [1].

In conclusione, il tuo server web ha per poter leggere la keytab!

2) È necessario disporre del modulo httpd appropriato per l'autenticazione: mod_auth_kerb:

LoadModule auth_kerb_module modules/mod_auth_kerb.so

3) Quindi devi dire ad Apache di Kerberos:

<Location /> 
    AuthName "Kerberos Authentication -- this will be showed to users via BasicAuth"
    AuthType Kerberos
    KrbMethodNegotiate On
    KrbMethodK5Passwd Off
    # this is the principal from your keytab (you may lose the FQDN part)
    KrbServiceName HTTP/$FQDN
    KrbAuthRealms KERBEROS_DOMAIN
    Krb5KeyTab /path/to/http.keytab
    Require valid-user

    Order Deny,Allow
    Deny from all
</Location>

Quindi Apache passerà l'utente alla tua app tramite REMOTE_USER Intestazione HTTP.

E questo è tutto.

Ti consiglio inoltre di attivare la registrazione del debug in Apache durante la configurazione.Assicurati di avere l'ora corretta e che httpd possa leggere keytab, tutto qui.

[1] http://kb.iu.edu/data/aumh.html

[2] Risorsa principale: http://www.roguelynn.com/words/apache-kerberos-for-django/

Autorizzato sotto: CC-BY-SA insieme a attribuzione
Non affiliato a StackOverflow
scroll top