チュートリアル Nginx - Kerberos 認証 [ ステップバイステップ ]

アクティブディレクトリでの Nginx サービス Kerberos 認証の構成方法を学習しますか? このチュートリアルでは、マイクロソフトの Windows および Kerberos プロトコルからアクティブディレクトリを使用して Nginx ユーザーを認証する方法を示します。

• Ubuntu 20
• Ubuntu 19
• Ubuntu 18
• Nginx 1.18.0

この例では、ドメインコントローラの IP アドレスは 192.168.15.10 です。

この例では、Nginx サーバーの IP アドレスは 192.168.15.11 です。

機器リスト

次のセクションでは、このチュートリアルの作成に使用される機器の一覧を示します。

アマゾンアソシエイトとして、私は適格な購入から稼ぎます。

Nginx – 関連チュートリアル:

このページでは、Nginxに関連するチュートリアルのリストにすばやくアクセスできます。

チュートリアルウィンドウ – ドメインアカウントの作成

• IP – 192.168.15.10
• Operacional System – WINDOWS 2012 R2
• Hostname – TECH-DC01

Active Directory データベースに少なくとも 1 つのアカウントを作成する必要があります。

ADMIN アカウントは Nginx サーバーでログインするために使用されます。

ドメインコントローラーで、次の名前のアプリケーションを開きます: Active Directory ユーザーとコンピューター

Users コンテナ内に新しいアカウントを作成します。

admin という名前の新しいアカウントを作成します。

ADMIN ユーザーに設定されたパスワード: kamisama123..

このアカウントは Nginx サーバーでの認証に使用されます。

zabbix active directory admin properties

これで、必要なアクティブディレクトリアカウントが作成されました。

Nginx – アクティブディレクトリでの Kerberos 認証

• IP – 192.168.15.11
• Operational System – Ubuntu 20
• Hostname – NGINX

ホスト名を設定する場合は、ホスト名を使用します。

Copy to Clipboard

HOSTS 構成ファイルを編集します。

Copy to Clipboard

ドメインコントローラの IP アドレスとホスト名を追加します。

Copy to Clipboard

Kerberos 認証を有効にするために必要なパッケージの一覧をインストールします。

Copy to Clipboard

グラフィック・インストールで、以下の構成を実行します。

• Kerberos realm – TECH.LOCAL
• Kerberos server – TECH-DC01.TECH.LOCAL
• Administrative server – TECH-DC01.TECH.LOCAL

ネットワーク環境を反映するようにドメイン情報を変更する必要があります。

Kerberos 構成ファイルを編集します。

Copy to Clipboard

ここでは、設定の前にファイルがあります。

Copy to Clipboard

[libdefaults]
        default_realm = TECH.LOCAL
        kdc_timesync = 1
        ccache_type = 4
        forwardable = true
        proxiable = true
        fcc-mit-ticketflags = true
[realms]
        TECH.LOCAL = {
                kdc = TECH-DC01.TECH.LOCAL
                admin_server = TECH-DC01.TECH.LOCAL
        }
        ATHENA.MIT.EDU = {
                kdc = kerberos.mit.edu
                kdc = kerberos-1.mit.edu
                kdc = kerberos-2.mit.edu:88
                admin_server = kerberos.mit.edu
                default_domain = mit.edu
        }
        ZONE.MIT.EDU = {
                kdc = casio.mit.edu
                kdc = seiko.mit.edu
                admin_server = casio.mit.edu
        }
        CSAIL.MIT.EDU = {
                admin_server = kerberos.csail.mit.edu
                default_domain = csail.mit.edu
        }
        IHTFP.ORG = {
                kdc = kerberos.ihtfp.org
                admin_server = kerberos.ihtfp.org
        }
        1TS.ORG = {
                kdc = kerberos.1ts.org
                admin_server = kerberos.1ts.org
        }
        ANDREW.CMU.EDU = {
                admin_server = kerberos.andrew.cmu.edu
                default_domain = andrew.cmu.edu
        }
        CS.CMU.EDU = {
                kdc = kerberos-1.srv.cs.cmu.edu
                kdc = kerberos-2.srv.cs.cmu.edu
                kdc = kerberos-3.srv.cs.cmu.edu
                admin_server = kerberos.cs.cmu.edu
        }
        DEMENTIA.ORG = {
                kdc = kerberos.dementix.org
                kdc = kerberos2.dementix.org
                admin_server = kerberos.dementix.org
        }
        stanford.edu = {
                kdc = krb5auth1.stanford.edu
                kdc = krb5auth2.stanford.edu
                kdc = krb5auth3.stanford.edu
                master_kdc = krb5auth1.stanford.edu
                admin_server = krb5-admin.stanford.edu
                default_domain = stanford.edu
        }
        UTORONTO.CA = {
                kdc = kerberos1.utoronto.ca
                kdc = kerberos2.utoronto.ca
                kdc = kerberos3.utoronto.ca
                admin_server = kerberos1.utoronto.ca
                default_domain = utoronto.ca
        }
[domain_realm]
        .mit.edu = ATHENA.MIT.EDU
        mit.edu = ATHENA.MIT.EDU
        .media.mit.edu = MEDIA-LAB.MIT.EDU
        media.mit.edu = MEDIA-LAB.MIT.EDU
        .csail.mit.edu = CSAIL.MIT.EDU
        csail.mit.edu = CSAIL.MIT.EDU
        .whoi.edu = ATHENA.MIT.EDU
        whoi.edu = ATHENA.MIT.EDU
        .stanford.edu = stanford.edu
        .slac.stanford.edu = SLAC.STANFORD.EDU
        .toronto.edu = UTORONTO.CA
        .utoronto.ca = UTORONTO.CA

ここに、設定後のファイルがあります。

Copy to Clipboard

ネットワーク環境を反映するようにドメイン情報を変更する必要があります。

必要な Kerberos 構成が完了しました。

Nginx – Kerberos 認証

Nginx サーバーと必要なパッケージをインストールします。

Copy to Clipboard

この例では、TEST というディレクトリにアクセスしようとするユーザーに認証を要求します。

TEST という名前のディレクトリを作成し、このディレクトリに対する www-data という名前のアクセス許可をユーザーに与えます。

Copy to Clipboard

このディレクトリにアクセスしようとするユーザーに PAM 認証を要求するように Nginx サーバーを構成します。

デフォルトの Web サイトの Nginx 構成ファイルを編集します。

Copy to Clipboard

このファイルに次の構成を追加します。

Copy to Clipboard

ここでは、設定の前にファイルがあります。

Copy to Clipboard

ここに、設定後のファイルがあります。

Copy to Clipboard

Nginx サーバーは、TEST という名前のディレクトリにアクセスするためのパスワード認証を要求するように構成されました。

PAM 認証モジュールを使用してユーザーアカウントを認証するように Nginx サービスが設定されました。

PAM 構成ファイルを作成します。

Copy to Clipboard

ここにファイルの内容があります。

Copy to Clipboard

この例では、Kerberos を使用して Nginx サービスアクセスを認証します。

Nginx サービスを再起動します。

Copy to Clipboard

おめでとう！ Kerberos を使用するように Nginx 認証を正常に構成しました。

Nginx – ケベロス認証テスト

認証テストで使用する HTML ページを作成します。

Copy to Clipboard

echo "<html><body><h1>Nginx authentication test</h1><script>"use strict";function wprRemoveCPCSS(){var preload_stylesheets=document.querySelectorAll('link[data-rocket-async="style"][rel="preload"]');if(preload_stylesheets&&0<preload_stylesheets.length)for(var stylesheet_index=0;stylesheet_index<preload_stylesheets.length;stylesheet_index++){var media=preload_stylesheets[stylesheet_index].getAttribute("media")||"all";if(window.matchMedia(media).matches)return void setTimeout(wprRemoveCPCSS,200)}var elem=document.getElementById("rocket-critical-css");elem&&"remove"in elem&&elem.remove()}window.addEventListener?window.addEventListener("load",wprRemoveCPCSS):window.attachEvent&&window.attachEvent("onload",wprRemoveCPCSS);</script><noscript><link data-minify="1" rel='stylesheet' id='wpml-blocks-css' href='https://d1ny9casiyy5u5.cloudfront.net/wp-content/cache/min/1/wp-content/plugins/sitepress-multilingual-cms/dist/css/blocks/styles.css?ver=1732128896' type='text/css' media='all' /><link rel='stylesheet' id='wpml-menu-item-0-css' href='https://d1ny9casiyy5u5.cloudfront.net/wp-content/plugins/sitepress-multilingual-cms/templates/language-switchers/menu-item/style.min.css?ver=1' type='text/css' media='all' /><link rel='stylesheet' id='fusion-core-comment-form-css' href='https://d1ny9casiyy5u5.cloudfront.net/wp-content/plugins/fusion-core/css/comment-form.min.css?ver=5.11.11' type='text/css' media='all' /><link rel='stylesheet' id='fusion-core-privacy-css' href='https://d1ny9casiyy5u5.cloudfront.net/wp-content/plugins/fusion-core/css/privacy.min.css?ver=5.11.11' type='text/css' media='all' /><link rel='stylesheet' id='avada-stylesheet-css' href='https://d1ny9casiyy5u5.cloudfront.net/wp-content/themes/Avada/assets/css/style.min.css?ver=7.11.11' type='text/css' media='all' /><link rel='stylesheet' id='wp-codemirror-css' href='https://d1ny9casiyy5u5.cloudfront.net/wp-includes/js/codemirror/codemirror.min.css?ver=5.29.1-alpha-ee20357' type='text/css' media='all' /><link rel='stylesheet' id='code-editor-css' href='https://techexpert.tips/wp-admin/css/code-editor.min.css?ver=6.7' type='text/css' media='all' /><link rel='stylesheet' id='wp-block-library-css' href='https://d1ny9casiyy5u5.cloudfront.net/wp-includes/css/dist/block-library/style.min.css?ver=6.7' type='text/css' media='all' /></noscript></body></html>" > /var/www/html/test/test.html
chown www-data.www-data /var/www/html/test -R

この例では、TEST という名前の HTML ページを作成しました。

ブラウザを開き、Nginx ウェブサーバーの IP アドレスを入力します。

この例では、ブラウザに次の URL が入力されています。

• http://192.168.15.11

Nginx のデフォルトページが表示されます。

ブラウザを開き、Web サーバーの IP アドレスと /test を入力します。

この例では、ブラウザに次の URL が入力されています。

• http://192.168.15.11/test/test.html

ログイン画面で、アクティブディレクトリのユーザー名とそのパスワードを入力します。

• Username: admin
• Password: kamisama123..

ログインが成功すると、TESTという名前のディレクトリにアクセスする権限が与えられます。

おめでとう！ Nginx サーバーで Kerberos 認証を構成しました。

Nginx – Kerberos 認証

Nginx – Kerberos 認証

機器リスト

Nginx – 関連チュートリアル:

チュートリアルウィンドウ – ドメインアカウントの作成

Nginx – アクティブ ディレクトリでの Kerberos 認証

Nginx – Kerberos 認証

Nginx – ケベロス認証テスト

Related Posts

Nginx – アクティブディレクトリでの Kerberos 認証