Didacticiel Nginx - authentification Kerberos [ Étape par étape ]

Souhaitez-vous savoir comment configurer l’authentification Kerberos du service Nginx sur Active Directory ? Dans ce didacticiel, nous allons vous montrer comment authentifier les utilisateurs de Nginx à l’aide d’Active Directory à partir de Microsoft Windows et du protocole Kerberos.

• Ubuntu 20
• Ubuntu 19
• Ubuntu 18
• Nginx 1.18.0

Dans notre exemple, l’adresse IP du contrôleur de domaine est 192.168.15.10.

Dans notre exemple, l’adresse IP du serveur Nginx est 192.168.15.11.

Liste des équipements

La section suivante présente la liste des équipements utilisés pour créer ce didacticiel.

En tant qu’associé Amazon, je gagne des achats admissibles.

Nginx – Tutoriel connexe:

Sur cette page, nous offrons un accès rapide à une liste de tutoriels liés à Nginx.

Tutorial Windows – Création de compte de domaine

• IP – 192.168.15.10
• Operacional System – WINDOWS 2012 R2
• Hostname – TECH-DC01

Nous devons créer au moins 1 compte dans la base de données Active Directory.

Le compte ADMIN sera utilisé pour se connecter sur le serveur Nginx.

Sur le contrôleur de domaine, ouvrez l’application nommée : Utilisateurs et ordinateurs Active directory.

Créez un nouveau compte à l’intérieur du conteneur Utilisateurs.

Créer un nouveau compte nommé : admin

Mot de passe configuré pour l’utilisateur ADMIN : kamisama123..

Ce compte sera utilisé pour s’authentifier sur le serveur Nginx.

zabbix active directory admin properties

Félicitations, vous avez créé le compte Active Directory requis.

Nginx – authentification Kerberos sur Active Directory

• IP – 192.168.15.11
• Système opérationnel – Ubuntu 20
• Hostname – NGINX

Définissez un nom d’hôte à l’aide de la commande HOSTNAMECTL.

Copy to Clipboard

Modifiez le fichier de configuration HOSTS.

Copy to Clipboard

Ajoutez l’adresse IP et le nom d’hôte du contrôleur de domaine.

Copy to Clipboard

Installez la liste des packages requis pour activer l’authentification Kerberos.

Copy to Clipboard

Sur l’installation graphique, effectuez la configuration suivante :

• Kerberos realm – TECH.LOCAL
• Kerberos server – TECH-DC01.TECH.LOCAL
• Administrative server – TECH-DC01.TECH.LOCAL

Vous devez modifier les informations de domaine pour refléter votre environnement réseau.

Modifiez le fichier de configuration Kerberos.

Copy to Clipboard

Voici le fichier, avant notre configuration.

Copy to Clipboard

[libdefaults]
        default_realm = TECH.LOCAL
        kdc_timesync = 1
        ccache_type = 4
        forwardable = true
        proxiable = true
        fcc-mit-ticketflags = true
[realms]
        TECH.LOCAL = {
                kdc = TECH-DC01.TECH.LOCAL
                admin_server = TECH-DC01.TECH.LOCAL
        }
        ATHENA.MIT.EDU = {
                kdc = kerberos.mit.edu
                kdc = kerberos-1.mit.edu
                kdc = kerberos-2.mit.edu:88
                admin_server = kerberos.mit.edu
                default_domain = mit.edu
        }
        ZONE.MIT.EDU = {
                kdc = casio.mit.edu
                kdc = seiko.mit.edu
                admin_server = casio.mit.edu
        }
        CSAIL.MIT.EDU = {
                admin_server = kerberos.csail.mit.edu
                default_domain = csail.mit.edu
        }
        IHTFP.ORG = {
                kdc = kerberos.ihtfp.org
                admin_server = kerberos.ihtfp.org
        }
        1TS.ORG = {
                kdc = kerberos.1ts.org
                admin_server = kerberos.1ts.org
        }
        ANDREW.CMU.EDU = {
                admin_server = kerberos.andrew.cmu.edu
                default_domain = andrew.cmu.edu
        }
        CS.CMU.EDU = {
                kdc = kerberos-1.srv.cs.cmu.edu
                kdc = kerberos-2.srv.cs.cmu.edu
                kdc = kerberos-3.srv.cs.cmu.edu
                admin_server = kerberos.cs.cmu.edu
        }
        DEMENTIA.ORG = {
                kdc = kerberos.dementix.org
                kdc = kerberos2.dementix.org
                admin_server = kerberos.dementix.org
        }
        stanford.edu = {
                kdc = krb5auth1.stanford.edu
                kdc = krb5auth2.stanford.edu
                kdc = krb5auth3.stanford.edu
                master_kdc = krb5auth1.stanford.edu
                admin_server = krb5-admin.stanford.edu
                default_domain = stanford.edu
        }
        UTORONTO.CA = {
                kdc = kerberos1.utoronto.ca
                kdc = kerberos2.utoronto.ca
                kdc = kerberos3.utoronto.ca
                admin_server = kerberos1.utoronto.ca
                default_domain = utoronto.ca
        }
[domain_realm]
        .mit.edu = ATHENA.MIT.EDU
        mit.edu = ATHENA.MIT.EDU
        .media.mit.edu = MEDIA-LAB.MIT.EDU
        media.mit.edu = MEDIA-LAB.MIT.EDU
        .csail.mit.edu = CSAIL.MIT.EDU
        csail.mit.edu = CSAIL.MIT.EDU
        .whoi.edu = ATHENA.MIT.EDU
        whoi.edu = ATHENA.MIT.EDU
        .stanford.edu = stanford.edu
        .slac.stanford.edu = SLAC.STANFORD.EDU
        .toronto.edu = UTORONTO.CA
        .utoronto.ca = UTORONTO.CA

Voici le fichier, après notre configuration.

Copy to Clipboard

Vous devez modifier les informations de domaine pour refléter votre environnement réseau.

Vous avez terminé la configuration Kerberos requise.

Nginx – authentification Kerberos

Installez le serveur Nginx et les packages requis.

Copy to Clipboard

Dans notre exemple, nous allons demander l’authentification aux utilisateurs qui tentent d’accéder à un répertoire nommé TEST.

Créez un répertoire nommé TEST et donnez à l’utilisateur l’autorisation www-data nommée sur ce répertoire.

Copy to Clipboard

Configurez le serveur Nginx pour demander l’authentification PAM aux utilisateurs qui tentent d’accéder à ce répertoire.

Modifiez le fichier de configuration Nginx pour le site Web par défaut.

Copy to Clipboard

Ajoutez la configuration suivante à ce fichier.

Copy to Clipboard

Voici le fichier, avant notre configuration.

Copy to Clipboard

Voici le fichier, après notre configuration.

Copy to Clipboard

Le serveur Nginx a été configuré pour demander l’authentification par mot de passe pour accéder au répertoire nommé TEST.

Le service Nginx a été configuré pour authentifier les comptes d’utilisateurs à l’aide du module d’authentification PAM.

Créez le fichier de configuration PAM.

Copy to Clipboard

Voici le contenu du fichier.

Copy to Clipboard

Dans notre exemple, nous allons authentifier l’accès au service Nginx à l’aide de Kerberos.

Redémarrez le service Nginx.

Copy to Clipboard

félicitations! Vous avez configuré avec succès l’authentification Nginx pour utiliser Kerberos.

Nginx – Test d’authentification Keberos

Créez une page HTML à utiliser dans le test d’authentification.

Copy to Clipboard

echo "<html><body><h1>Nginx authentication test</h1><script>"use strict";function wprRemoveCPCSS(){var preload_stylesheets=document.querySelectorAll('link[data-rocket-async="style"][rel="preload"]');if(preload_stylesheets&&0<preload_stylesheets.length)for(var stylesheet_index=0;stylesheet_index<preload_stylesheets.length;stylesheet_index++){var media=preload_stylesheets[stylesheet_index].getAttribute("media")||"all";if(window.matchMedia(media).matches)return void setTimeout(wprRemoveCPCSS,200)}var elem=document.getElementById("rocket-critical-css");elem&&"remove"in elem&&elem.remove()}window.addEventListener?window.addEventListener("load",wprRemoveCPCSS):window.attachEvent&&window.attachEvent("onload",wprRemoveCPCSS);</script><noscript><link data-minify="1" rel='stylesheet' id='wpml-blocks-css' href='https://d1ny9casiyy5u5.cloudfront.net/wp-content/cache/min/1/wp-content/plugins/sitepress-multilingual-cms/dist/css/blocks/styles.css?ver=1732128896' type='text/css' media='all' /><link rel='stylesheet' id='wpml-menu-item-0-css' href='https://d1ny9casiyy5u5.cloudfront.net/wp-content/plugins/sitepress-multilingual-cms/templates/language-switchers/menu-item/style.min.css?ver=1' type='text/css' media='all' /><link rel='stylesheet' id='fusion-core-comment-form-css' href='https://d1ny9casiyy5u5.cloudfront.net/wp-content/plugins/fusion-core/css/comment-form.min.css?ver=5.11.11' type='text/css' media='all' /><link rel='stylesheet' id='fusion-core-privacy-css' href='https://d1ny9casiyy5u5.cloudfront.net/wp-content/plugins/fusion-core/css/privacy.min.css?ver=5.11.11' type='text/css' media='all' /><link rel='stylesheet' id='avada-stylesheet-css' href='https://d1ny9casiyy5u5.cloudfront.net/wp-content/themes/Avada/assets/css/style.min.css?ver=7.11.11' type='text/css' media='all' /><link rel='stylesheet' id='wp-codemirror-css' href='https://d1ny9casiyy5u5.cloudfront.net/wp-includes/js/codemirror/codemirror.min.css?ver=5.29.1-alpha-ee20357' type='text/css' media='all' /><link rel='stylesheet' id='code-editor-css' href='https://techexpert.tips/wp-admin/css/code-editor.min.css?ver=6.7' type='text/css' media='all' /><link rel='stylesheet' id='wp-block-library-css' href='https://d1ny9casiyy5u5.cloudfront.net/wp-includes/css/dist/block-library/style.min.css?ver=6.7' type='text/css' media='all' /></noscript></body></html>" > /var/www/html/test/test.html
chown www-data.www-data /var/www/html/test -R

Dans notre exemple, nous avons créé une page HTML nommée TEST.

Ouvrez votre navigateur et entrez l’adresse IP de votre serveur Web Nginx.

Dans notre exemple, l’URL suivante a été saisie dans le navigateur :

• http://192.168.15.11

La page par défaut Nginx s’affiche.

Ouvrez votre navigateur et entrez l’adresse IP de votre serveur web plus /test.

Dans notre exemple, l’URL suivante a été saisie dans le navigateur :

• http://192.168.15.11/test/test.html

Sur l’écran de connexion, entrez un nom d’utilisateur Active Directory et son mot de passe.

• Username: admin
• Mot de passe : kamisama123..

Après une connexion réussie, vous serez autorisé à accéder au répertoire nommé TEST.

félicitations! Vous avez configuré l’authentification Kerberos sur le serveur Nginx.

Nginx – authentification Kerberos

Nginx – authentification Kerberos

Liste des équipements

Nginx – Tutoriel connexe:

Tutorial Windows – Création de compte de domaine

Nginx – authentification Kerberos sur Active Directory

Nginx – authentification Kerberos

Nginx – Test d’authentification Keberos

Related Posts