Selvstudium Nginx - Kerberos-godkendelse [Trin for trin]

Vil du have mere at vide om, hvordan du konfigurerer Nginx-tjenesten Kerberos-godkendelse i Active Directory? I dette selvstudium skal vi vise dig, hvordan du godkender Nginx-brugere ved hjælp af Active Directory fra Microsoft Windows og Kerberos-protokollen.

• Ubuntu 20
• Ubuntu 19
• Ubuntu 18
• Nginx 1.18.0

I vores eksempel er domænecontrollerens IP-adresse 192.168.15.10.

I vores eksempel er Nginx-serverens IP-adresse 192.168.15.11.

Liste over udstyr

I det følgende afsnit vises listen over udstyr, der bruges til at oprette dette selvstudium.

Som En Amazon Associate, tjener jeg fra kvalificerende køb.

Nginx – Relateret selvstudium:

På denne side tilbyder vi hurtig adgang til en liste over tutorials relateret til Nginx.

Selvstudium Windows – Oprettelse af domænekonto

• IP – 192.168.15.10
• Operacional System – WINDOWS 2012 R2
• Hostname – TECH-DC01

Vi skal oprette mindst én konto i Active Directory-databasen.

ADMIN-kontoen vil blive brugt til at logge ind på Nginx-serveren.

Åbn programmet med navnet: Active Directory-brugere og -computere på domænecontrolleren

Opret en ny konto i objektbeholderen Brugere.

Oprette en ny konto med navnet: administrator

Adgangskode konfigureret til ADMIN-brugeren: kamisama123..

Denne konto vil blive brugt til at godkende på Nginx-serveren.

zabbix active directory admin properties

Tillykke, du har oprettet den nødvendige Active Directory-konto.

Nginx – Kerberos-godkendelse i Active Directory

• IP – 192.168.15.11
• Operationelt system – Ubuntu 20
• Hostname – NGINX

Angiv et værtsnavn ved hjælp af kommandoen HOSTNAMECTL.

Copy to Clipboard

Rediger HOSTS-konfigurationsfilen.

Copy to Clipboard

Tilføj domænecontrollerens IP-adresse og værtsnavn.

Copy to Clipboard

Installer listen over nødvendige pakker for at aktivere Kerberos-godkendelsen.

Copy to Clipboard

Udfør følgende konfiguration i installationen Grafik:

• Kerberos realm – TECH.LOCAL
• Kerberos server – TECH-DC01. Tech. Lokale
• Administrative server – TECH-DC01.TECH.LOCAL

Du skal ændre domæneoplysningerne, så de afspejler netværksmiljøet.

Rediger Kerberos-konfigurationsfilen.

Copy to Clipboard

Her er filen, før vores konfiguration.

Copy to Clipboard

[libdefaults]
        default_realm = TECH.LOCAL
        kdc_timesync = 1
        ccache_type = 4
        forwardable = true
        proxiable = true
        fcc-mit-ticketflags = true
[realms]
        TECH.LOCAL = {
                kdc = TECH-DC01.TECH.LOCAL
                admin_server = TECH-DC01.TECH.LOCAL
        }
        ATHENA.MIT.EDU = {
                kdc = kerberos.mit.edu
                kdc = kerberos-1.mit.edu
                kdc = kerberos-2.mit.edu:88
                admin_server = kerberos.mit.edu
                default_domain = mit.edu
        }
        ZONE.MIT.EDU = {
                kdc = casio.mit.edu
                kdc = seiko.mit.edu
                admin_server = casio.mit.edu
        }
        CSAIL.MIT.EDU = {
                admin_server = kerberos.csail.mit.edu
                default_domain = csail.mit.edu
        }
        IHTFP.ORG = {
                kdc = kerberos.ihtfp.org
                admin_server = kerberos.ihtfp.org
        }
        1TS.ORG = {
                kdc = kerberos.1ts.org
                admin_server = kerberos.1ts.org
        }
        ANDREW.CMU.EDU = {
                admin_server = kerberos.andrew.cmu.edu
                default_domain = andrew.cmu.edu
        }
        CS.CMU.EDU = {
                kdc = kerberos-1.srv.cs.cmu.edu
                kdc = kerberos-2.srv.cs.cmu.edu
                kdc = kerberos-3.srv.cs.cmu.edu
                admin_server = kerberos.cs.cmu.edu
        }
        DEMENTIA.ORG = {
                kdc = kerberos.dementix.org
                kdc = kerberos2.dementix.org
                admin_server = kerberos.dementix.org
        }
        stanford.edu = {
                kdc = krb5auth1.stanford.edu
                kdc = krb5auth2.stanford.edu
                kdc = krb5auth3.stanford.edu
                master_kdc = krb5auth1.stanford.edu
                admin_server = krb5-admin.stanford.edu
                default_domain = stanford.edu
        }
        UTORONTO.CA = {
                kdc = kerberos1.utoronto.ca
                kdc = kerberos2.utoronto.ca
                kdc = kerberos3.utoronto.ca
                admin_server = kerberos1.utoronto.ca
                default_domain = utoronto.ca
        }
[domain_realm]
        .mit.edu = ATHENA.MIT.EDU
        mit.edu = ATHENA.MIT.EDU
        .media.mit.edu = MEDIA-LAB.MIT.EDU
        media.mit.edu = MEDIA-LAB.MIT.EDU
        .csail.mit.edu = CSAIL.MIT.EDU
        csail.mit.edu = CSAIL.MIT.EDU
        .whoi.edu = ATHENA.MIT.EDU
        whoi.edu = ATHENA.MIT.EDU
        .stanford.edu = stanford.edu
        .slac.stanford.edu = SLAC.STANFORD.EDU
        .toronto.edu = UTORONTO.CA
        .utoronto.ca = UTORONTO.CA

Her er filen, efter vores konfiguration.

Copy to Clipboard

Du skal ændre domæneoplysningerne, så de afspejler netværksmiljøet.

Du er færdig med den nødvendige Kerberos-konfiguration.

Nginx – Kerberos-godkendelse

Installer Nginx-serveren og de nødvendige pakker.

Copy to Clipboard

I vores eksempel vil vi anmode om godkendelse til brugere, der forsøger at få adgang til en mappe med navnet TEST.

Opret en mappe med navnet TEST, og giv brugeren tilladelse til at give dem med navnet www-data over denne mappe.

Copy to Clipboard

Konfigurer Nginx-serveren til at anmode om PAM-godkendelse til brugere, der forsøger at få adgang til denne mappe.

Rediger Nginx-konfigurationsfilen for standardwebstedet.

Copy to Clipboard

Føj følgende konfiguration til denne fil.

Copy to Clipboard

Her er filen, før vores konfiguration.

Copy to Clipboard

Her er filen, efter vores konfiguration.

Copy to Clipboard

Nginx-serveren blev konfigureret til at anmode om adgangskodegodkendelse for at få adgang til mappen TEST.

Tjenesten Nginx blev konfigureret til at godkende brugerkonti ved hjælp af PAM-godkendelsesmodulet.

Opret PAM-konfigurationsfilen.

Copy to Clipboard

Her er filindholdet.

Copy to Clipboard

I vores eksempel vil vi godkende Nginx-tjenestens adgang ved hjælp af Kerberos.

Genstart tjenesten Nginx.

Copy to Clipboard

Tillykke! Du har konfigureret Nginx-godkendelsen til at bruge Kerberos.

Nginx – Keberos-godkendelsestest

Opret en HTML-side, der skal bruges i godkendelsestesten.

Copy to Clipboard

echo "<html><body><h1>Nginx authentication test</h1><script>var rocket_beacon_data = {"ajax_url":"https:\/\/techexpert.tips\/wp-admin\/admin-ajax.php","nonce":"5a891d6827","url":"https:\/\/techexpert.tips\/da\/nginx-da\/nginx-kerberos-godkendelse","is_mobile":false,"width_threshold":1600,"height_threshold":700,"delay":500,"debug":null,"status":{"atf":true,"lrc":true},"elements":"img, video, picture, p, main, div, li, svg, section, header, span","lrc_threshold":1800}</script><script data-name="wpr-wpr-beacon" src='https://techexpert.tips/wp-content/plugins/wp-rocket/assets/js/wpr-beacon.min.js' async></script><script>"use strict";function wprRemoveCPCSS(){var preload_stylesheets=document.querySelectorAll('link[data-rocket-async="style"][rel="preload"]');if(preload_stylesheets&&0<preload_stylesheets.length)for(var stylesheet_index=0;stylesheet_index<preload_stylesheets.length;stylesheet_index++){var media=preload_stylesheets[stylesheet_index].getAttribute("media")||"all";if(window.matchMedia(media).matches)return void setTimeout(wprRemoveCPCSS,200)}var elem=document.getElementById("rocket-critical-css");elem&&"remove"in elem&&elem.remove()}window.addEventListener?window.addEventListener("load",wprRemoveCPCSS):window.attachEvent&&window.attachEvent("onload",wprRemoveCPCSS);</script><noscript><link data-minify="1" rel='stylesheet' id='wpml-blocks-css' href='https://d1ny9casiyy5u5.cloudfront.net/wp-content/cache/min/1/wp-content/plugins/sitepress-multilingual-cms/dist/css/blocks/styles.css?ver=1732128896' type='text/css' media='all' /><link rel='stylesheet' id='wpml-menu-item-0-css' href='https://d1ny9casiyy5u5.cloudfront.net/wp-content/plugins/sitepress-multilingual-cms/templates/language-switchers/menu-item/style.min.css?ver=1' type='text/css' media='all' /><link rel='stylesheet' id='fusion-core-comment-form-css' href='https://d1ny9casiyy5u5.cloudfront.net/wp-content/plugins/fusion-core/css/comment-form.min.css?ver=5.11.11' type='text/css' media='all' /><link rel='stylesheet' id='fusion-core-privacy-css' href='https://d1ny9casiyy5u5.cloudfront.net/wp-content/plugins/fusion-core/css/privacy.min.css?ver=5.11.11' type='text/css' media='all' /><link rel='stylesheet' id='avada-stylesheet-css' href='https://d1ny9casiyy5u5.cloudfront.net/wp-content/themes/Avada/assets/css/style.min.css?ver=7.11.11' type='text/css' media='all' /><link rel='stylesheet' id='wp-codemirror-css' href='https://d1ny9casiyy5u5.cloudfront.net/wp-includes/js/codemirror/codemirror.min.css?ver=5.29.1-alpha-ee20357' type='text/css' media='all' /><link rel='stylesheet' id='code-editor-css' href='https://techexpert.tips/wp-admin/css/code-editor.min.css?ver=6.7' type='text/css' media='all' /><link rel='stylesheet' id='wp-block-library-css' href='https://d1ny9casiyy5u5.cloudfront.net/wp-includes/css/dist/block-library/style.min.css?ver=6.7' type='text/css' media='all' /></noscript></body></html>" > /var/www/html/test/test.html
chown www-data.www-data /var/www/html/test -R

I vores eksempel oprettede vi en HTML-side med navnet TEST.

Åbn din browser, og angiv IP-adressen på Nginx-webserveren.

I vores eksempel blev følgende webadresse indtastet i browseren:

• http://192.168.15.11

Nginx-standardsiden vises.

Åbn din browser, og angiv IP-adressen på din webserver plus /test.

I vores eksempel blev følgende webadresse indtastet i browseren:

• http://192.168.15.11/test/test.html

Angiv et Active Directory-brugernavn og dets adgangskode på logonskærmen.

• Brugernavn: admin
• Password: kamisama123..

Efter en vellykket login, vil du blive bemyndiget til at få adgang til mappen med navnet TEST.

Tillykke! Du har konfigureret Kerberos-godkendelsen på Nginx-serveren.

Nginx – Kerberos-godkendelse

Nginx – Kerberos-godkendelse

Liste over udstyr

Nginx – Relateret selvstudium:

Selvstudium Windows – Oprettelse af domænekonto

Nginx – Kerberos-godkendelse i Active Directory

Nginx – Kerberos-godkendelse

Nginx – Keberos-godkendelsestest

Related Posts