Tutorial Nginx - Kerberos-Authentifizierung [ Schritt für Schritt ]

Möchten Sie erfahren, wie Sie die Kerberos-Authentifizierung des Nginx-Dienstes in Active Directory konfigurieren? In diesem Tutorial zeigen wir Ihnen, wie Sie Nginx-Benutzer mithilfe des Active Directory von Microsoft Windows und des Kerberos-Protokolls authentifizieren.

• Ubuntu 20
• Ubuntu 19
• Ubuntu 18
• Nginx 1.18.0

In unserem Beispiel lautet die Domänencontroller-IP-Adresse 192.168.15.10.

In unserem Beispiel lautet die Nginx-Server-IP-Adresse 192.168.15.11.

Geräteliste

Im folgenden Abschnitt wird die Liste der Geräte aufgeführt, die zum Erstellen dieses Tutorials verwendet wurden.

Als Amazon Associate verdiene ich mit qualifizierenden Käufen.

Nginx – Verwandtes Tutorial:

Auf dieser Seite bieten wir schnellen Zugriff auf eine Liste von Tutorials im Zusammenhang mit Nginx.

Tutorial Windows – Domänenkontoerstellung

• IP – 192.168.15.10
• Operacional System – WINDOWS 2012 R2
• Hostname – TECH-DC01

Wir müssen mindestens 1 Konto in der Active Directory-Datenbank erstellen.

Das ADMIN-Konto wird verwendet, um sich auf dem Nginx-Server anzumelden.

Öffnen Sie auf dem Domänencontroller die Anwendung mit dem Namen: Active Directory-Benutzer und -Computer

Erstellen Sie ein neues Konto im Container Benutzer.

Erstellen Eines neuen Kontos mit dem Namen: admin

Für den ADMIN-Benutzer konfiguriertes Kennwort: kamisama123..

Dieses Konto wird zur Authentifizierung auf dem Nginx-Server verwendet.

zabbix active directory admin properties

Herzlichen Glückwunsch, Sie haben das erforderliche Active Directory-Konto erstellt.

Nginx – Kerberos-Authentifizierung im Active Directory

• IP – 192.168.15.11
• Betriebssystem – Ubuntu 20
• Hostname – NGINX

Legen Sie einen Hostnamen mit dem Befehl HOSTNAMECTL fest.

Copy to Clipboard

Bearbeiten Sie die HOSTS-Konfigurationsdatei.

Copy to Clipboard

Fügen Sie die Domänencontroller-IP-Adresse und den Hostnamen hinzu.

Copy to Clipboard

Installieren Sie die Liste der erforderlichen Pakete, um die Kerberos-Authentifizierung zu aktivieren.

Copy to Clipboard

Führen Sie bei der Grafischen Installation die folgende Konfiguration aus:

• Kerberos realm – TECH.LOCAL
• Kerberos server – TECH-DC01.TECH.LOCAL
• Administrative server – TECH-DC01.TECH.LOCAL

Sie müssen die Domäneninformationen ändern, um Ihre Netzwerkumgebung widerzuspiegeln.

Bearbeiten Sie die Kerberos-Konfigurationsdatei.

Copy to Clipboard

Hier ist die Datei, vor unserer Konfiguration.

Copy to Clipboard

[libdefaults]
        default_realm = TECH.LOCAL
        kdc_timesync = 1
        ccache_type = 4
        forwardable = true
        proxiable = true
        fcc-mit-ticketflags = true
[realms]
        TECH.LOCAL = {
                kdc = TECH-DC01.TECH.LOCAL
                admin_server = TECH-DC01.TECH.LOCAL
        }
        ATHENA.MIT.EDU = {
                kdc = kerberos.mit.edu
                kdc = kerberos-1.mit.edu
                kdc = kerberos-2.mit.edu:88
                admin_server = kerberos.mit.edu
                default_domain = mit.edu
        }
        ZONE.MIT.EDU = {
                kdc = casio.mit.edu
                kdc = seiko.mit.edu
                admin_server = casio.mit.edu
        }
        CSAIL.MIT.EDU = {
                admin_server = kerberos.csail.mit.edu
                default_domain = csail.mit.edu
        }
        IHTFP.ORG = {
                kdc = kerberos.ihtfp.org
                admin_server = kerberos.ihtfp.org
        }
        1TS.ORG = {
                kdc = kerberos.1ts.org
                admin_server = kerberos.1ts.org
        }
        ANDREW.CMU.EDU = {
                admin_server = kerberos.andrew.cmu.edu
                default_domain = andrew.cmu.edu
        }
        CS.CMU.EDU = {
                kdc = kerberos-1.srv.cs.cmu.edu
                kdc = kerberos-2.srv.cs.cmu.edu
                kdc = kerberos-3.srv.cs.cmu.edu
                admin_server = kerberos.cs.cmu.edu
        }
        DEMENTIA.ORG = {
                kdc = kerberos.dementix.org
                kdc = kerberos2.dementix.org
                admin_server = kerberos.dementix.org
        }
        stanford.edu = {
                kdc = krb5auth1.stanford.edu
                kdc = krb5auth2.stanford.edu
                kdc = krb5auth3.stanford.edu
                master_kdc = krb5auth1.stanford.edu
                admin_server = krb5-admin.stanford.edu
                default_domain = stanford.edu
        }
        UTORONTO.CA = {
                kdc = kerberos1.utoronto.ca
                kdc = kerberos2.utoronto.ca
                kdc = kerberos3.utoronto.ca
                admin_server = kerberos1.utoronto.ca
                default_domain = utoronto.ca
        }
[domain_realm]
        .mit.edu = ATHENA.MIT.EDU
        mit.edu = ATHENA.MIT.EDU
        .media.mit.edu = MEDIA-LAB.MIT.EDU
        media.mit.edu = MEDIA-LAB.MIT.EDU
        .csail.mit.edu = CSAIL.MIT.EDU
        csail.mit.edu = CSAIL.MIT.EDU
        .whoi.edu = ATHENA.MIT.EDU
        whoi.edu = ATHENA.MIT.EDU
        .stanford.edu = stanford.edu
        .slac.stanford.edu = SLAC.STANFORD.EDU
        .toronto.edu = UTORONTO.CA
        .utoronto.ca = UTORONTO.CA

Hier ist die Datei, nach unserer Konfiguration.

Copy to Clipboard

Sie müssen die Domäneninformationen ändern, um Ihre Netzwerkumgebung widerzuspiegeln.

Sie haben die erforderliche Kerberos-Konfiguration abgeschlossen.

Nginx – Kerberos-Authentifizierung

Installieren Sie den Nginx-Server und die erforderlichen Pakete.

Copy to Clipboard

In unserem Beispiel fordern wir die Authentifizierung für Benutzer an, die versuchen, auf ein Verzeichnis mit dem Namen TEST zuzugreifen.

Erstellen Sie ein Verzeichnis mit dem Namen TEST, und erteilen Sie dem Benutzer mit dem Namen www-data die Berechtigung zu diesem Verzeichnis.

Copy to Clipboard

Konfigurieren Sie den Nginx-Server so, dass Benutzer, die auf dieses Verzeichnis zugreifen möchten, die PAM-Authentifizierung anfordern.

Bearbeiten Sie die Nginx-Konfigurationsdatei für die Standardwebsite.

Copy to Clipboard

Fügen Sie dieser Datei die folgende Konfiguration hinzu.

Copy to Clipboard

Hier ist die Datei, vor unserer Konfiguration.

Copy to Clipboard

Hier ist die Datei, nach unserer Konfiguration.

Copy to Clipboard

Der Nginx-Server wurde so konfiguriert, dass er die Kennwortauthentifizierung anfordert, um auf das Verzeichnis mit dem Namen TEST zuzugreifen.

Der Nginx-Dienst wurde so konfiguriert, dass Benutzerkonten mithilfe des PAM-Authentifizierungsmoduls authentifiziert werden.

Erstellen Sie die PAM-Konfigurationsdatei.

Copy to Clipboard

Hier ist der Dateiinhalt.

Copy to Clipboard

In unserem Beispiel werden wir den Nginx-Dienstzugriff mithilfe von Kerberos authentifizieren.

Starten Sie den Nginx-Dienst neu.

Copy to Clipboard

Herzlichen glückwunsch! Sie haben die Nginx-Authentifizierung erfolgreich für die Verwendung von Kerberos konfiguriert.

Nginx – Keberos Authentifizierungstest

Erstellen Sie eine HTML-Seite, die im Authentifizierungstest verwendet werden soll.

Copy to Clipboard

echo "<html><body><h1>Nginx authentication test</h1><script>var rocket_beacon_data = {"ajax_url":"https:\/\/techexpert.tips\/wp-admin\/admin-ajax.php","nonce":"5a891d6827","url":"https:\/\/techexpert.tips\/de\/nginx-de\/nginx-kerberos-authentifizierung","is_mobile":false,"width_threshold":1600,"height_threshold":700,"delay":500,"debug":null,"status":{"atf":true,"lrc":true},"elements":"img, video, picture, p, main, div, li, svg, section, header, span","lrc_threshold":1800}</script><script data-name="wpr-wpr-beacon" src='https://techexpert.tips/wp-content/plugins/wp-rocket/assets/js/wpr-beacon.min.js' async></script><script>"use strict";function wprRemoveCPCSS(){var preload_stylesheets=document.querySelectorAll('link[data-rocket-async="style"][rel="preload"]');if(preload_stylesheets&&0<preload_stylesheets.length)for(var stylesheet_index=0;stylesheet_index<preload_stylesheets.length;stylesheet_index++){var media=preload_stylesheets[stylesheet_index].getAttribute("media")||"all";if(window.matchMedia(media).matches)return void setTimeout(wprRemoveCPCSS,200)}var elem=document.getElementById("rocket-critical-css");elem&&"remove"in elem&&elem.remove()}window.addEventListener?window.addEventListener("load",wprRemoveCPCSS):window.attachEvent&&window.attachEvent("onload",wprRemoveCPCSS);</script><noscript><link data-minify="1" rel='stylesheet' id='wpml-blocks-css' href='https://d1ny9casiyy5u5.cloudfront.net/wp-content/cache/min/1/wp-content/plugins/sitepress-multilingual-cms/dist/css/blocks/styles.css?ver=1732128896' type='text/css' media='all' /><link rel='stylesheet' id='wpml-menu-item-0-css' href='https://d1ny9casiyy5u5.cloudfront.net/wp-content/plugins/sitepress-multilingual-cms/templates/language-switchers/menu-item/style.min.css?ver=1' type='text/css' media='all' /><link rel='stylesheet' id='fusion-core-comment-form-css' href='https://d1ny9casiyy5u5.cloudfront.net/wp-content/plugins/fusion-core/css/comment-form.min.css?ver=5.11.11' type='text/css' media='all' /><link rel='stylesheet' id='fusion-core-privacy-css' href='https://d1ny9casiyy5u5.cloudfront.net/wp-content/plugins/fusion-core/css/privacy.min.css?ver=5.11.11' type='text/css' media='all' /><link rel='stylesheet' id='avada-stylesheet-css' href='https://d1ny9casiyy5u5.cloudfront.net/wp-content/themes/Avada/assets/css/style.min.css?ver=7.11.11' type='text/css' media='all' /><link rel='stylesheet' id='wp-codemirror-css' href='https://d1ny9casiyy5u5.cloudfront.net/wp-includes/js/codemirror/codemirror.min.css?ver=5.29.1-alpha-ee20357' type='text/css' media='all' /><link rel='stylesheet' id='code-editor-css' href='https://techexpert.tips/wp-admin/css/code-editor.min.css?ver=6.7' type='text/css' media='all' /><link rel='stylesheet' id='wp-block-library-css' href='https://d1ny9casiyy5u5.cloudfront.net/wp-includes/css/dist/block-library/style.min.css?ver=6.7' type='text/css' media='all' /></noscript></body></html>" > /var/www/html/test/test.html
chown www-data.www-data /var/www/html/test -R

In unserem Beispiel haben wir eine HTML-Seite mit dem Namen TEST erstellt.

Öffnen Sie Ihren Browser und geben Sie die IP-Adresse Ihres Nginx-Webservers ein.

In unserem Beispiel wurde die folgende URL im Browser eingegeben:

• http://192.168.15.11

Die Nginx-Standardseite wird angezeigt.

Öffnen Sie Ihren Browser und geben Sie die IP-Adresse Ihres Webservers plus /test ein.

In unserem Beispiel wurde die folgende URL im Browser eingegeben:

• http://192.168.15.11/test/test.html

Geben Sie auf dem Anmeldebildschirm einen Active Directory-Benutzernamen und dessen Kennwort ein.

• Benutzername: admin
• Passwort: kamisama123..

Nach einer erfolgreichen Anmeldung werden Sie autorisiert, auf das Verzeichnis mit dem Namen TEST zuzugreifen.

Herzlichen glückwunsch! Sie haben die Kerberos-Authentifizierung auf dem Nginx-Server konfiguriert.

Nginx – Kerberos-Authentifizierung

Nginx – Kerberos-Authentifizierung

Geräteliste

Nginx – Verwandtes Tutorial:

Tutorial Windows – Domänenkontoerstellung

Nginx – Kerberos-Authentifizierung im Active Directory

Nginx – Kerberos-Authentifizierung

Nginx – Keberos Authentifizierungstest

Related Posts