Autenticazione utente Kerberos in Apache
-
09-06-2019 - |
Domanda
qualcuno può consigliare alcune risorse davvero valide su come ottenere l'autenticazione di Apache per gli utenti con Kerberos.
Sarebbe utile anche una lettura di base su Kerberos
Grazie
Peter
Soluzione
mod_auth_kerb è un buon inizio: http://modauthkerb.sourceforge.net/.Se hai bisogno del supporto di Active Directory, guarda qui: http://support.microsoft.com/?id=555092.
Altri suggerimenti
Ho trovato che anche mod_auth_spnego va bene, poiché può utilizzare SSPI su Windows invece di richiedere MIT Kerberos. mod_spnego
Ecco un esempio che utilizza Active Directory come KDC:http://oslabs.mikro-net.com/krb_apache.html
Mi è piaciuto questo articolo sulla configurazione di Apache per utilizzare Kerberos:
http://www.roguelynn.com/words/apache-kerberos-for-django/
(puoi saltare le parti su Django se non sei interessato)
MODIFICARE:
Risposta completa
È abbastanza semplice configurare Apache per utilizzare l'autenticazione Kerberos.
Presumo che tu abbia configurato correttamente Kerberos sul tuo computer.
1) Il tuo server web deve avere keytab [1].
In conclusione, il tuo server web ha per poter leggere la keytab!
2) È necessario disporre del modulo httpd appropriato per l'autenticazione: mod_auth_kerb
:
LoadModule auth_kerb_module modules/mod_auth_kerb.so
3) Quindi devi dire ad Apache di Kerberos:
<Location />
AuthName "Kerberos Authentication -- this will be showed to users via BasicAuth"
AuthType Kerberos
KrbMethodNegotiate On
KrbMethodK5Passwd Off
# this is the principal from your keytab (you may lose the FQDN part)
KrbServiceName HTTP/$FQDN
KrbAuthRealms KERBEROS_DOMAIN
Krb5KeyTab /path/to/http.keytab
Require valid-user
Order Deny,Allow
Deny from all
</Location>
Quindi Apache passerà l'utente alla tua app tramite REMOTE_USER
Intestazione HTTP.
E questo è tutto.
Ti consiglio inoltre di attivare la registrazione del debug in Apache durante la configurazione.Assicurati di avere l'ora corretta e che httpd possa leggere keytab, tutto qui.
[1] http://kb.iu.edu/data/aumh.html
[2] Risorsa principale: http://www.roguelynn.com/words/apache-kerberos-for-django/