公司部署有微软的活动目录,假设域名为linuxidc.com,一台Web服务器,运行在Red Hat Enterpise Linux 5.5上,该网站原本只在内网访问,现由于业务的发展,需要发布到互联网上,以便销售人员和维护人员通过互联网随时能访问到,但由于该网站的内容涉及商业数据,不能让非公司人员随意访问到。
2、实验目的
为了保证数据的安全,需要在Apache上做身份验证,如果用传统的Apache的认证机制的话就会给用户带来麻烦,因为用户要输入额外的用户名和密码来登录网站。最理想的方式就是在公司内网里用户不用输入用户名和密码,可以直接登录;从互联网访问时,则需要输入用户名和密码,而这个账户密码就是登录公司域的账户名和密码。
3、实现原理
用户登录活动目录时使用的是Kerberos协议,因此Apache的验证方式就使用Kerberos协议,用户登录活动目录后会获得一个Kerberos票据,这个Kerberos票据就可以用来登录Apache,如果用户不在公司内网里,在登录Apache时只需要输入活动目录的用户名和密码即可。
4、实现步骤
a. 安装Apache,PHP,mod_auth_kerb
PHP环境根据需要安装,mod_auth_kerb就是Apache的Kerberos认证模块,配置好YUM仓库后可以使用yum工具来安装,也可以直接使用rpm命令:
[root@test ~]#yum install httpd php* mod_auth_kerb -y
b.配置Kerberos
使用vim编辑/etc/krb5.conf文件,该文件是参照example.com域来配置的,把example.com全部替换成自己的域名即可,注意Kerberos是区分大小写的,需要修改的内容如下:
[libdefaults]
default_realm = linuxidc.COM
[realms]
linuxidc.COM = {
kdc = dc1.linuxidc.com:88
default_domain = linuxidc.com
}
[domain_realm]
test.linuxidc.com = linuxidc.COM
linuxidc.com = linuxidc.COM
其中,test.linuxidc.com是Apache服务器的FQDN名,kdc的值要设置成域中的DC。
设置好Kerberos后,可以验证一下配置是否正确,使用kinit命令,参数为AD中的一个账户
[root@test ~]#kinit bob@linuxidc.COM
注意大小写,该命令会提示你输入密码,命令成功执行后不会有任何提示,可以使用klist命令查看获得的Kerberos票据
c.为test.linuxidc.com主机创建HTTP服务凭据
首先需要在AD中创建一个用来映射HTTP service的账户,此例中为apache。其次登录到DC中,使用命令行工具ktpass将apache账户映射到HTTP/test.linuxidc.com@linuxidc.COM,并把凭据导出到一个keytab文件。(ktpass命令在support tools中,需要安装),命令如下:
C:\>ktpass -princ HTTP/test.linuxidc.com@linuxidc.COM -mapuser apache -crypto rc4-hmac-nt -ptype KRB5_NT_SRV_HST -pass linuxidc -out c:\apache.keytab
命令成功执行后,将c:\apache.keytab文件拷贝到WEB服务器,确保apache进程对该文件有读权限。
d.配置httpd.conf使用mod_auth_kerb模块进行身份验证
alias /test /www/myweb
<Location /test>
AuthType Kerberos
AuthName "Kerberos Login"
KrbMethodNegotiate On
KrbMethodK5Passwd Off
KrbAuthRealms linuxidc.COM
Krb5KeyTab /etc/httpd/apache.keytab
KrbServiceName HTTP
require valid-user
</Location>
e.配置IE浏览器