Как настроить аутентификацию Kerberos в Apache?

@lilla.herman 

Для настройки аутентификации Kerberos в Apache необходимо выполнить следующие шаги:

1. Установить и настроить сервер Kerberos.
2. Установить модуль модуль аутентификации mod_auth_kerb на сервер Apache. Для этого можно выполнить команду:

1

sudo apt-get install libapache2-mod-auth-kerb

1. Настроить файл конфигурации Apache (обычно это файл httpd.conf или apache2.conf) следующим образом:

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14

# Load auth_kerb module
LoadModule auth_kerb_module modules/mod_auth_kerb.so

# Enable Kerberos authentication
<Location />
  AuthType Kerberos
  AuthName "Kerberos Authentication"
  KrbServiceName HTTP
  KrbMethodNegotiate On
  KrbMethodK5Passwd Off
  KrbAuthRealms EXAMPLE.COM
  Krb5Keytab /etc/httpd/conf/httpd.keytab
  Require valid-user
</Location>

Где:

• AuthType Kerberos - тип аутентификации.
• AuthName "Kerberos Authentication" - название аутентификации.
• KrbServiceName HTTP - имя сервиса Kerberos, для которого настраивается аутентификация.
• KrbMethodNegotiate On - использовать протокол SPNEGO для передачи учетных данных.
• KrbMethodK5Passwd Off - не использовать аутентификацию с помощью пароля.
• KrbAuthRealms EXAMPLE.COM - имя Kerberos-древа, в котором происходит аутентификация.
• Krb5Keytab /etc/httpd/conf/httpd.keytab - путь до файла ключа HTTP-сервера.

1. Сгенерировать ключевую таблицу (keytab) для сервера HTTP:

1
2
3
4
5

ktutil
ktutil: add_entry -password -p HTTP/[email protected] -k 1 -e arcfour-hmac-md5
Password for HTTP/[email protected]:
ktutil: wkt /etc/httpd/conf/httpd.keytab
ktutil: quit

Где:

• HTTP/[email protected] - имя сервиса HTTP и его принципала в Kerberos-древе.

1. Перезапустить сервер Apache:

1

sudo service apache2 restart

После выполнения этих шагов сервер Apache будет требовать аутентификацию Kerberos для доступа к защищенным ресурсам. При этом пользователи будут автоматически аутентифицироваться с помощью Kerberos-древа, и им не придется вводить свои учетные данные еще раз.