チュートリアル Apache - Kerberos 認証 [ ステップバイステップ ]

アクティブディレクトリで Apache サービスの Kerberos 認証を設定する方法を学習しますか? このチュートリアルでは、マイクロソフトの Windows および Kerberos プロトコルからアクティブディレクトリを使用して Apache ユーザーを認証する方法を示します。

• Ubuntu 20
• Ubuntu 19
• Ubuntu 18
• Apache 2.4.41
• Windows 2012 R2

この例では、ドメインコントローラの IP アドレスは 192.168.15.10 です。

この例では、Apache サーバーの IP アドレスは 192.168.15.11 です。

Techexpert.tipsによる著作権© 2018-2021。
すべての権利が予約されています。この出版物のいかなる部分も、出版社の書面による事前の許可なしに、いかなる形でも、またはいかなる手段によっても複製、配布、または送信することはできません。

アパッチ – 関連チュートリアル:

このページでは、Apacheに関連するチュートリアルのリストにすばやくアクセスできます。

チュートリアルウィンドウ – ドメインアカウントの作成

• IP – 192.168.15.10
• Operacional System – WINDOWS 2012 R2
• Hostname – TECH-DC01

Active Directory データベースに少なくとも 1 つのアカウントを作成する必要があります。

ADMIN アカウントは Apache サーバーでログインするために使用されます。

ドメインコントローラーで、次の名前のアプリケーションを開きます: Active Directory ユーザーとコンピューター

Users コンテナ内に新しいアカウントを作成します。

admin という名前の新しいアカウントを作成します。

ADMIN ユーザーに設定されたパスワード: kamisama123..

このアカウントは Apache サーバーでの認証に使用されます。

zabbix active directory admin properties

これで、必要なアクティブディレクトリアカウントが作成されました。

アパッチ – アクティブディレクトリでの Kerberos 認証

• IP – 192.168.15.11
• Operational System – Ubuntu 20
• Hostname – APACHE

ホスト名を設定する場合は、ホスト名を使用します。

Copy to Clipboard

HOSTS 構成ファイルを編集します。

Copy to Clipboard

ドメインコントローラの IP アドレスとホスト名を追加します。

Copy to Clipboard

Apache サーバー、Kerberos モジュール、および必要なソフトウェアのリストをインストールします。

Copy to Clipboard

グラフィック・インストールで、以下の構成を実行します。

• Kerberos realm – TECH.LOCAL
• Kerberos server – TECH-DC01.TECH.LOCAL
• Administrative server – TECH-DC01.TECH.LOCAL

ネットワーク環境を反映するようにドメイン情報を変更する必要があります。

Kerberos 構成ファイルを編集します。

Copy to Clipboard

ここでは、設定の前にファイルがあります。

Copy to Clipboard

[libdefaults]
        default_realm = TECH.LOCAL
        kdc_timesync = 1
        ccache_type = 4
        forwardable = true
        proxiable = true
        fcc-mit-ticketflags = true
[realms]
        TECH.LOCAL = {
                kdc = TECH-DC01.TECH.LOCAL
                admin_server = TECH-DC01.TECH.LOCAL
        }
        ATHENA.MIT.EDU = {
                kdc = kerberos.mit.edu
                kdc = kerberos-1.mit.edu
                kdc = kerberos-2.mit.edu:88
                admin_server = kerberos.mit.edu
                default_domain = mit.edu
        }
        ZONE.MIT.EDU = {
                kdc = casio.mit.edu
                kdc = seiko.mit.edu
                admin_server = casio.mit.edu
        }
        CSAIL.MIT.EDU = {
                admin_server = kerberos.csail.mit.edu
                default_domain = csail.mit.edu
        }
        IHTFP.ORG = {
                kdc = kerberos.ihtfp.org
                admin_server = kerberos.ihtfp.org
        }
        1TS.ORG = {
                kdc = kerberos.1ts.org
                admin_server = kerberos.1ts.org
        }
        ANDREW.CMU.EDU = {
                admin_server = kerberos.andrew.cmu.edu
                default_domain = andrew.cmu.edu
        }
        CS.CMU.EDU = {
                kdc = kerberos-1.srv.cs.cmu.edu
                kdc = kerberos-2.srv.cs.cmu.edu
                kdc = kerberos-3.srv.cs.cmu.edu
                admin_server = kerberos.cs.cmu.edu
        }
        DEMENTIA.ORG = {
                kdc = kerberos.dementix.org
                kdc = kerberos2.dementix.org
                admin_server = kerberos.dementix.org
        }
        stanford.edu = {
                kdc = krb5auth1.stanford.edu
                kdc = krb5auth2.stanford.edu
                kdc = krb5auth3.stanford.edu
                master_kdc = krb5auth1.stanford.edu
                admin_server = krb5-admin.stanford.edu
                default_domain = stanford.edu
        }
        UTORONTO.CA = {
                kdc = kerberos1.utoronto.ca
                kdc = kerberos2.utoronto.ca
                kdc = kerberos3.utoronto.ca
                admin_server = kerberos1.utoronto.ca
                default_domain = utoronto.ca
        }
[domain_realm]
        .mit.edu = ATHENA.MIT.EDU
        mit.edu = ATHENA.MIT.EDU
        .media.mit.edu = MEDIA-LAB.MIT.EDU
        media.mit.edu = MEDIA-LAB.MIT.EDU
        .csail.mit.edu = CSAIL.MIT.EDU
        csail.mit.edu = CSAIL.MIT.EDU
        .whoi.edu = ATHENA.MIT.EDU
        whoi.edu = ATHENA.MIT.EDU
        .stanford.edu = stanford.edu
        .slac.stanford.edu = SLAC.STANFORD.EDU
        .toronto.edu = UTORONTO.CA
        .utoronto.ca = UTORONTO.CA

ここに、設定後のファイルがあります。

Copy to Clipboard

ネットワーク環境を反映するようにドメイン情報を変更する必要があります。

ドメイン管理者として Kerberos セッションを開始します。

Copy to Clipboard

Kerberos セッションをリストします。

Copy to Clipboard

コマンド出力を次に示します。

Copy to Clipboard

Apache サーバーをドメインコンピューターとして追加します。

Copy to Clipboard

ネットワーク環境を反映するようにドメイン情報を変更する必要があります。

ホスト名を変更する必要があります。

ドメイン管理者として Kerberos セッションを停止します。

Copy to Clipboard

キーファイルを正しい場所に移動します。

Copy to Clipboard

この例では、TEST というディレクトリにアクセスしようとするユーザーに認証を要求します。

TEST という名前のディレクトリを作成し、このディレクトリに対する www-data という名前のアクセス許可をユーザーに与えます。

Copy to Clipboard

このディレクトリにアクセスしようとするユーザーに Kerberos 認証を要求するように Apache サーバーを構成します。

Apache 構成ファイルを編集します。

Copy to Clipboard

ここでは、設定の前にファイルがあります。

Copy to Clipboard

ここに、設定後のファイルがあります。

Copy to Clipboard

Apache サーバは、TEST という名前のディレクトリにアクセスするためのパスワード認証を要求するように設定されました。

Apache サービスは、Kerberos を使用してユーザーアカウントを認証するように構成されました。

ネットワーク環境を反映するようにドメイン情報を変更する必要があります。

Apache サービスを再起動します。

Copy to Clipboard

おめでとう！ Kerberos を使用するように Apache 認証を正常に構成しました。

アパッチ – Kerberos 認証テスト

ブラウザを開き、Apache ウェブサーバーの IP アドレスを入力します。

この例では、ブラウザに次の URL が入力されています。

• http://192.168.15.11

Apache のデフォルトページが表示されます。

ブラウザを開き、Web サーバーの IP アドレスと /test を入力します。

この例では、ブラウザに次の URL が入力されています。

• http://192.168.15.11/test

ログイン画面で、アクティブディレクトリのユーザー名とそのパスワードを入力します。

• Username: admin
• Password: kamisama123..

ログインが成功すると、TESTという名前のディレクトリにアクセスする権限が与えられます。

おめでとう！ Apache サーバーで Kerberos 認証を構成しました。

アパッチ – Kerberos 認証

アパッチ – Kerberos 認証

機器リスト

アパッチ – 関連チュートリアル:

チュートリアルウィンドウ – ドメインアカウントの作成

アパッチ – アクティブディレクトリでの Kerberos 認証

アパッチ – Kerberos 認証テスト

Related Posts