Wechsel zur Kerberos-Authentifizierung mit Apache2 unter Ubuntu (LDAP oder AD)


0

Ich überlege, meine Intranet-Apps auf Kerberos-Authentifizierung umzustellen. (Derzeit wird NTLM verwendet, die erforderlichen Module werden jedoch nicht mehr verwaltet und funktionieren nicht mehr, sobald der Webserver auf die neueste Version (Ubuntu) aktualisiert wurde.)

Ich bin völlig neu in diesem Bereich und nicht direkt in der IT-Abteilung meines Unternehmens. Es ist ein riesiges Unternehmen und der Umgang mit IT ist eine PITA. Meine Frage dreht sich also auch darum, ob die IT etwas für mich tun muss, damit dies funktioniert.

Ich kann auf meinem Firmen-Laptop mit klist sehen, dass ich 3 Tickets habe:

krbtgt/MYCOMPANY.COM@MYCOMPANY.COM

ldap/ldap.mycompany.com@MYCOMPANY.COM

und der letzte ist für meinen Laptop (zB Server = mein Laptop)

Ich habe auch bereits einen generischen LDAP-Benutzer für die Abfrage von LDAP für die Autorisierung.

Meine Frage ist, ob ich meinen Webserver so konfigurieren kann, dass das vorhandene ldap-Ticket zur Authentifizierung wiederverwendet wird. Und wenn ja wie würde ich das machen?

Antworten:


1

Sie können kein LDAP / ... -Ticket für die Authentifizierung in httpd freigeben. Sie können die Keytab-Datei auch auf demselben Host nicht freigeben, da sie Anmeldeinformationen für den HTTP / ... -Prinzipal bereitstellen muss. Es gibt eine Option in httpds mod_auth_kerb (mit dem Namen KrbServiceName ) zum "Umbenennen" des verwendeten Principals, aber ich habe es nicht versucht und ich bezweifle, dass es funktionieren kann, da die Clients versuchen werden, Standardnamen zu verwenden.

Es gibt viele Anleitungen zum Konfigurieren von Apache httpd mit AD + Kerberos-basiertem Single Sign-On. Beginnen Sie mit dem Lesen des Handbuchs mod_auth_kerb . Zu beachten sind: umgekehrte DNS-Einträge, die mit Forward-DNS übereinstimmen, Zeitsynchronisation, Standard-Realm-Name in der Datei /etc/krb5.conf, KVNO im Befehl ktpass . Bei Problemen versuchen Sie (vorübergehend!) KrbVerifyKDC offUnd LogLevel debugin Apache Config.


Danke für deine Antwort. So weit ich mich informiert habe, muss ich einen Dienstprinzipal erstellen und das muss wahrscheinlich von der IT-Abteilung durchgeführt werden (z. B. Active Directory-Verwaltung). Ich bin noch nicht einmal in der Phase der Konfiguration, bevor ich nicht weiß, was ich eigentlich brauche, damit es funktioniert.
Anfänger_

Ja, ktpass.exe muss auf einem Domänencontroller von einem Domänenadministrator mit erhöhten Rechten ausgeführt werden. Das Prinzip sollte einem bereits vorhandenen AD-Benutzer des Dienstes ohne bestimmte Gruppenmitgliedschaft zugeordnet werden ( Domänengäste sind ausreichend). Es gibt FOSS-Hilfsprogramme, mit denen Keytab-Dateien aus der Windows-Domäne abgerufen werden können, aber ich habe sie nie verwendet.
sam_pan_mariusz
Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.