ערכת לימוד Nginx - אימות Kerberos [ צעד אחר צעד ]

האם בדעתך ללמוד כיצד להגדיר את אימות Kerberos שירות Nginx ב- Active Directory? במדריך זה, אנו הולכים להראות לך כיצד לאמת משתמשי Nginx באמצעות Active Directory מ- Microsoft Windows והפרוטוקול Kerberos.

• Ubuntu 20
• Ubuntu 19
• Ubuntu 18
• Nginx 1.18.0

בדוגמה שלנו, כתובת ה-IP של בקר קבוצת המחשבים היא 192.168.15.10.

בדוגמה שלנו, כתובת ה-IP של שרת Nginx היא 192.168.15.11.

רשימת ציוד

הסעיף הבא מציג את רשימת הציוד המשמש ליצירת ערכת לימוד זו.

כשותף באמזון, אני מרוויח מרכישות מתאימות.

Nginx – ערכת לימוד בנושא:

בדף זה, אנו מציעים גישה מהירה לרשימת ערכות לימוד הקשורות Nginx.

ערכת לימוד Windows – יצירת חשבון תחום

• IP – 192.168.15.10
• מערכת אופראית – WINDOWS 2012 R2
• Hostname – TECH-DC01

עלינו ליצור חשבון אחד לפחות במסד הנתונים של Active Directory.

חשבון הניהול ישמש לכניסה בשרת Nginx.

בבקר קבוצת המחשבים, פתח את היישום בשם: משתמשים ומחשבים של Active Directory

צור חשבון חדש בתוך הגורם המכיל של משתמשים.

יצירת חשבון חדש בשם: admin

סיסמה שתצורתה נקבעה למשתמש מנהל מערכת: kamisama123..

חשבון זה ישמש לאימות בשרת Nginx.

zabbix active directory admin properties

מזל טוב, יצרת את חשבון Active Directory הנדרש.

Nginx – אימות Kerberos ב- Active Directory

• IP – 192.168.15.11
• Operational System – Ubuntu 20
• שם מארח – NGINX

הגדר שם מחשב מארח באמצעות הפקודה HOSTNAMECTL.

Copy to Clipboard

ערוך את קובץ התצורה HOSTS.

Copy to Clipboard

הוסף את כתובת ה- IP של בקר קבוצת המחשבים ואת שם המחשב המארח.

Copy to Clipboard

התקן את רשימת החבילות הדרושות כדי לאפשר את אימות Kerberos.

Copy to Clipboard

בהתקנה גרפית, בצע את התצורה הבאה:

• Kerberos realm – TECH.LOCAL
• Kerberos server – TECH-DC01.TECH.LOCAL
• Administrative server – TECH-DC01.TECH.LOCAL

עליך לשנות את מידע התחום כדי לשקף את סביבת הרשת שלך.

ערוך את קובץ התצורה של Kerberos.

Copy to Clipboard

הנה הקובץ, לפני התצורה שלנו.

Copy to Clipboard

[libdefaults]
        default_realm = TECH.LOCAL
        kdc_timesync = 1
        ccache_type = 4
        forwardable = true
        proxiable = true
        fcc-mit-ticketflags = true
[realms]
        TECH.LOCAL = {
                kdc = TECH-DC01.TECH.LOCAL
                admin_server = TECH-DC01.TECH.LOCAL
        }
        ATHENA.MIT.EDU = {
                kdc = kerberos.mit.edu
                kdc = kerberos-1.mit.edu
                kdc = kerberos-2.mit.edu:88
                admin_server = kerberos.mit.edu
                default_domain = mit.edu
        }
        ZONE.MIT.EDU = {
                kdc = casio.mit.edu
                kdc = seiko.mit.edu
                admin_server = casio.mit.edu
        }
        CSAIL.MIT.EDU = {
                admin_server = kerberos.csail.mit.edu
                default_domain = csail.mit.edu
        }
        IHTFP.ORG = {
                kdc = kerberos.ihtfp.org
                admin_server = kerberos.ihtfp.org
        }
        1TS.ORG = {
                kdc = kerberos.1ts.org
                admin_server = kerberos.1ts.org
        }
        ANDREW.CMU.EDU = {
                admin_server = kerberos.andrew.cmu.edu
                default_domain = andrew.cmu.edu
        }
        CS.CMU.EDU = {
                kdc = kerberos-1.srv.cs.cmu.edu
                kdc = kerberos-2.srv.cs.cmu.edu
                kdc = kerberos-3.srv.cs.cmu.edu
                admin_server = kerberos.cs.cmu.edu
        }
        DEMENTIA.ORG = {
                kdc = kerberos.dementix.org
                kdc = kerberos2.dementix.org
                admin_server = kerberos.dementix.org
        }
        stanford.edu = {
                kdc = krb5auth1.stanford.edu
                kdc = krb5auth2.stanford.edu
                kdc = krb5auth3.stanford.edu
                master_kdc = krb5auth1.stanford.edu
                admin_server = krb5-admin.stanford.edu
                default_domain = stanford.edu
        }
        UTORONTO.CA = {
                kdc = kerberos1.utoronto.ca
                kdc = kerberos2.utoronto.ca
                kdc = kerberos3.utoronto.ca
                admin_server = kerberos1.utoronto.ca
                default_domain = utoronto.ca
        }
[domain_realm]
        .mit.edu = ATHENA.MIT.EDU
        mit.edu = ATHENA.MIT.EDU
        .media.mit.edu = MEDIA-LAB.MIT.EDU
        media.mit.edu = MEDIA-LAB.MIT.EDU
        .csail.mit.edu = CSAIL.MIT.EDU
        csail.mit.edu = CSAIL.MIT.EDU
        .whoi.edu = ATHENA.MIT.EDU
        whoi.edu = ATHENA.MIT.EDU
        .stanford.edu = stanford.edu
        .slac.stanford.edu = SLAC.STANFORD.EDU
        .toronto.edu = UTORONTO.CA
        .utoronto.ca = UTORONTO.CA

הנה הקובץ, אחרי התצורה שלנו.

Copy to Clipboard

עליך לשנות את מידע התחום כדי לשקף את סביבת הרשת שלך.

סיימת את התצורה הנדרשת של Kerberos.

Nginx – אימות קרברוס

התקן את שרת Nginx ואת החבילות הדרושות.

Copy to Clipboard

בדוגמה שלנו, אנו הולכים לבקש אימות למשתמשים הלנסים לגשת לספריה בשם TEST.

צור ספריה בשם TEST ותן למשתמש בשם www-data הרשאה באמצעות ספריה זו.

Copy to Clipboard

קבע את תצורת שרת Nginx כך יבקש את אימות PAM למשתמשים הלנסים לגשת לספריה זו.

ערוך את קובץ התצורה של Nginx עבור אתר האינטרנט המוגדר כברירת מחדל.

Copy to Clipboard

הוסף את התצורה הבאה לקובץ זה.

Copy to Clipboard

הנה הקובץ, לפני התצורה שלנו.

Copy to Clipboard

הנה הקובץ, אחרי התצורה שלנו.

Copy to Clipboard

שרת Nginx נקבעה לבקש אימות סיסמה כדי לגשת לספריה בשם TEST.

שירות Nginx נקבעה לאימות חשבונות משתמשים באמצעות מודול האימות PAM.

צור את קובץ התצורה של PAM.

Copy to Clipboard

הנה תוכן הקובץ.

Copy to Clipboard

בדוגמה שלנו, אנחנו הולכים לאמת את הגישה לשירות Nginx באמצעות Kerberos.

הפעל מחדש את שירות Nginx.

Copy to Clipboard

מזל טוב! הגדרת בהצלחה את אימות Nginx לשימוש Kerberos.

Nginx – בדיקת אימות Keberos

צור דף HTML לשימוש במבחן האימות.

Copy to Clipboard

echo "<html><body><h1>Nginx authentication test</h1><script>var rocket_beacon_data = {"ajax_url":"https:\/\/techexpert.tips\/wp-admin\/admin-ajax.php","nonce":"5a891d6827","url":"https:\/\/techexpert.tips\/he\/nginx-he\/nginx-%D7%90%D7%99%D7%9E%D7%95%D7%AA-%D7%A7%D7%A8%D7%91%D7%A8%D7%95%D7%A1","is_mobile":false,"width_threshold":1600,"height_threshold":700,"delay":500,"debug":null,"status":{"atf":true,"lrc":true},"elements":"img, video, picture, p, main, div, li, svg, section, header, span","lrc_threshold":1800}</script><script data-name="wpr-wpr-beacon" src='https://techexpert.tips/wp-content/plugins/wp-rocket/assets/js/wpr-beacon.min.js' async></script><script>"use strict";function wprRemoveCPCSS(){var preload_stylesheets=document.querySelectorAll('link[data-rocket-async="style"][rel="preload"]');if(preload_stylesheets&&0<preload_stylesheets.length)for(var stylesheet_index=0;stylesheet_index<preload_stylesheets.length;stylesheet_index++){var media=preload_stylesheets[stylesheet_index].getAttribute("media")||"all";if(window.matchMedia(media).matches)return void setTimeout(wprRemoveCPCSS,200)}var elem=document.getElementById("rocket-critical-css");elem&&"remove"in elem&&elem.remove()}window.addEventListener?window.addEventListener("load",wprRemoveCPCSS):window.attachEvent&&window.attachEvent("onload",wprRemoveCPCSS);</script><noscript><link data-minify="1" rel='stylesheet' id='wpml-blocks-css' href='https://d1ny9casiyy5u5.cloudfront.net/wp-content/cache/min/1/wp-content/plugins/sitepress-multilingual-cms/dist/css/blocks/styles.css?ver=1732128896' type='text/css' media='all' /><link rel='stylesheet' id='wpml-menu-item-0-css' href='https://d1ny9casiyy5u5.cloudfront.net/wp-content/plugins/sitepress-multilingual-cms/templates/language-switchers/menu-item/style.min.css?ver=1' type='text/css' media='all' /><link rel='stylesheet' id='fusion-core-comment-form-css' href='https://d1ny9casiyy5u5.cloudfront.net/wp-content/plugins/fusion-core/css/comment-form.min.css?ver=5.11.11' type='text/css' media='all' /><link rel='stylesheet' id='fusion-core-privacy-css' href='https://d1ny9casiyy5u5.cloudfront.net/wp-content/plugins/fusion-core/css/privacy.min.css?ver=5.11.11' type='text/css' media='all' /><link rel='stylesheet' id='avada-stylesheet-css' href='https://d1ny9casiyy5u5.cloudfront.net/wp-content/themes/Avada/assets/css/style.min.css?ver=7.11.11' type='text/css' media='all' /><link rel='stylesheet' id='avada-rtl-header-legacy-css' href='https://d1ny9casiyy5u5.cloudfront.net/wp-content/themes/Avada/assets/css/rtl-header-legacy.min.css?ver=7.11.11' type='text/css' media='all' /><link rel='stylesheet' id='wp-codemirror-css' href='https://d1ny9casiyy5u5.cloudfront.net/wp-includes/js/codemirror/codemirror.min.css?ver=5.29.1-alpha-ee20357' type='text/css' media='all' /><link rel='stylesheet' id='code-editor-css' href='https://techexpert.tips/wp-admin/css/code-editor.min.css?ver=6.7' type='text/css' media='all' /><link rel='stylesheet' id='wp-block-library-rtl-css' href='https://d1ny9casiyy5u5.cloudfront.net/wp-includes/css/dist/block-library/style-rtl.min.css?ver=6.7' type='text/css' media='all' /></noscript></body></html>" > /var/www/html/test/test.html
chown www-data.www-data /var/www/html/test -R

בדוגמה שלנו, יצרנו דף HTML בשם TEST.

פתח את הדפדפן והזן את כתובת ה- IP של שרת האינטרנט Nginx.

בדוגמה שלנו, כתובת ה- URL הבאה הוזנה בדפדפן:

• http://192.168.15.11

דף ברירת המחדל של Nginx יוצג.

פתח את הדפדפן והזן את כתובת ה- IP של שרת האינטרנט שלך בתוספת /test.

בדוגמה שלנו, כתובת ה- URL הבאה הוזנה בדפדפן:

• ג'http://192.168.15.11/test/test.html

במסך הכניסה, הזן שם משתמש של Active Directory ואת הסיסמה שלו.

• Username: admin
• ..Password: kamisama123

לאחר כניסה מוצלחת, תהיה מורשה לגשת לספריה בשם TEST.

מזל טוב! קבעת את תצורת אימות Kerberos בשרת Nginx.

Nginx – אימות קרברוס

Nginx – אימות קרברוס

רשימת ציוד

Nginx – ערכת לימוד בנושא:

ערכת לימוד Windows – יצירת חשבון תחום

Nginx – אימות Kerberos ב- Active Directory

Nginx – אימות קרברוס

Nginx – בדיקת אימות Keberos

Related Posts