Назад | Перейти на главную страницу

Настройка единого входа kerberos / ntlm с помощью apache и sssd

Каков правильный / самый чистый способ настройки apache для поддержки единого входа с использованием NTLM или, предпочтительно, Kerberos, с CentOS7, работающим с sssd, подключенным к контроллеру домена Active Directory?

С realmd присоединиться к домену теперь очень просто, но мне не удалось заставить apache работать за вечер. Похоже, что в Google пока нет ответов на эту тему.

Я получил SSO, работающий с SSH, используя gssapi со шпатлевкой. Все, что я сделал после новой установки CentOS 7 realm join --user=admin@domain.fqdn --computer-ou=OU=Servers и добавьте default_domain_suffix в sssd.conf.

Тебе надо:

  1. Создайте службу HTTP/hostname.fqdn@REALM.TEST в FreeIPA
  2. Загрузите keytab службы HTTP на веб-сервер с помощью ipa-getkeytab и сделайте его доступным (только) для apache
  3. Настройте apache и mod_auth_kerb для защиты некоторых URI с помощью Kerberos

Видеть этот пример или этот пример. Для более продвинутой интеграции между вашим веб-сервисом и SSSD проверьте Статья Web_App_Authentication на FreeIPA.org.