В системе интрасети на Solaris мы в настоящее время используем perls Apache2 :: AuthenNTLM модуль для аутентификации с домашним сервером Win 2k3, чтобы мы могли получить доступ к идентификатору пользователя, просматривающего сайт.
Переходя на серверы AD Win 2012, нам сказали, что они не будут поддерживать NTLM, что Microsoft все равно не рекомендует в наши дни. Является mod-auth-curb подходящий вариант замены для этого программного обеспечения?
Я искал в Google и не нашел соответствующей статьи или учебника, показывающего, что mod-auth-curb используется таким образом. У меня проблемы с началом работы, и я могу использовать точку в правильном направлении.
Спасибо
Вам потребуется, чтобы администратор Active Directory создал учетную запись службы, которая содержит принципы службы Kerberos для вашего сервера интрасети. SPN или SPN должны выглядеть так <service>/<hostname> и содержать все имена хостов и / или псевдонимы DNS, которые пользователи используют для доступа к вашему веб-сайту в интрасети, например:
http/solarishost.int.example.com
http/solarishost
http/intranet.example.com
Ваш администратор Active Directory может извлечь SPNк keytab файл, который вам нужно скопировать на ваш хост Solaris и настроить в Apache. Примечание. SPN http / hostname также используется для HTTPS.
В Solaris вам понадобятся инструменты и библиотеки MIT Kerberos 5, загрузите и установите модуль Apache, а затем настройте его.
Обычно вы редактируете глобальный файл конфигурации Kerberos. /etc/krb5/krb5.conf чтобы установить значения по умолчанию, которые также будут использовать mod-auth-curb, важны, как правило, только имена REALM, обычно это домен Windows AD, ваш домен DNS и серверы KDC - обычно контроллеры домена, которые ваш администратор AD говорит вам использовать .
Конфигурация Apache выглядит примерно так:
<Location /intranet>
AuthType Kerberos
AuthName "intranet"
KrbMethodNegotiate on
KrbAuthoritative on
KrbVerifyKDC on
KrbAuthRealm YOUR_ACTIVEDIRECTORY_DOMAIN
Krb5Keytab /etc/httpd/intranet.keytab
KrbSaveCredentials off
Require valid-user
</Location>
Некоторое понимание Kerberos и Microsoft AD помогает, поскольку непосвященным может быть сложно выполнить отладку. Да, и с Kerberos убедитесь, что ваши часы синхронизированы.