Zelfstudie Nginx - Kerberos-verificatie [ Stap voor stap ]

Wilt u meer weten over het configureren van de Kerberos-verificatie van de Nginx-service op Active Directory? In deze zelfstudie laten we u zien hoe u Nginx-gebruikers verifiëren met behulp van de Active Directory van Microsoft Windows en het Kerberos-protocol.

• Ubuntu 20
• Ubuntu 19
• Ubuntu 18
• Nginx 1.18.0

In ons voorbeeld is het IP-adres van de domeincontroller 192.168.15.10.

In ons voorbeeld is het IP-adres van de Nginx-server 192.168.15.11.

Uitrustingslijst

In de volgende sectie wordt de lijst weergegeven met apparatuur die wordt gebruikt om deze zelfstudie te maken.

Als Amazon Associate verdien ik aan kwalificerende aankopen.

Nginx – Gerelateerde tutorial:

Op deze pagina bieden we snelle toegang tot een lijst met tutorials met betrekking tot Nginx.

Zelfstudie Windows – Domeinaccount maken

• IP – 192.168.15.10
• Operacional System – WINDOWS 2012 R2
• Hostname – TECH-DC01

We moeten ten minste 1 account maken in de Active Directory-database.

Het ADMIN-account wordt gebruikt om in te loggen op de Nginx-server.

Open op de domeincontroller de toepassing met de naam: Active Directory Users and Computers

Maak een nieuw account in de container Gebruikers.

Een nieuw account met de naam: beheerder maken

Wachtwoord geconfigureerd voor de ADMIN-gebruiker: kamisama123..

Dit account wordt gebruikt om te verifiëren op de Nginx-server.

zabbix active directory admin properties

Gefeliciteerd, u hebt het vereiste Active Directory-account gemaakt.

Nginx – Kerberos-verificatie in de Active Directory

• IP – 192.168.15.11
• Operationeel systeem – Ubuntu 20
• Hostname – NGINX

Stel een hostnaam in met de opdracht HOSTNAMECTL.

Copy to Clipboard

Het configuratiebestand HOSTS bewerken.

Copy to Clipboard

Voeg het IP-adres en de hostnaam van de domeincontroller toe.

Copy to Clipboard

Installeer de lijst met vereiste pakketten om de Kerberos-verificatie in te schakelen.

Copy to Clipboard

Voer in de grafische installatie de volgende configuratie uit:

• Kerberos realm – TECH.LOCAL
• Kerberos server – TECH-DC01.TECH.LOCAL
• Administrative server – TECH-DC01.TECH.LOCAL

U moet de domeininformatie wijzigen om uw netwerkomgeving weer te geven.

Het configuratiebestand van Kerberos bewerken.

Copy to Clipboard

Hier is het bestand, voor onze configuratie.

Copy to Clipboard

[libdefaults]
        default_realm = TECH.LOCAL
        kdc_timesync = 1
        ccache_type = 4
        forwardable = true
        proxiable = true
        fcc-mit-ticketflags = true
[realms]
        TECH.LOCAL = {
                kdc = TECH-DC01.TECH.LOCAL
                admin_server = TECH-DC01.TECH.LOCAL
        }
        ATHENA.MIT.EDU = {
                kdc = kerberos.mit.edu
                kdc = kerberos-1.mit.edu
                kdc = kerberos-2.mit.edu:88
                admin_server = kerberos.mit.edu
                default_domain = mit.edu
        }
        ZONE.MIT.EDU = {
                kdc = casio.mit.edu
                kdc = seiko.mit.edu
                admin_server = casio.mit.edu
        }
        CSAIL.MIT.EDU = {
                admin_server = kerberos.csail.mit.edu
                default_domain = csail.mit.edu
        }
        IHTFP.ORG = {
                kdc = kerberos.ihtfp.org
                admin_server = kerberos.ihtfp.org
        }
        1TS.ORG = {
                kdc = kerberos.1ts.org
                admin_server = kerberos.1ts.org
        }
        ANDREW.CMU.EDU = {
                admin_server = kerberos.andrew.cmu.edu
                default_domain = andrew.cmu.edu
        }
        CS.CMU.EDU = {
                kdc = kerberos-1.srv.cs.cmu.edu
                kdc = kerberos-2.srv.cs.cmu.edu
                kdc = kerberos-3.srv.cs.cmu.edu
                admin_server = kerberos.cs.cmu.edu
        }
        DEMENTIA.ORG = {
                kdc = kerberos.dementix.org
                kdc = kerberos2.dementix.org
                admin_server = kerberos.dementix.org
        }
        stanford.edu = {
                kdc = krb5auth1.stanford.edu
                kdc = krb5auth2.stanford.edu
                kdc = krb5auth3.stanford.edu
                master_kdc = krb5auth1.stanford.edu
                admin_server = krb5-admin.stanford.edu
                default_domain = stanford.edu
        }
        UTORONTO.CA = {
                kdc = kerberos1.utoronto.ca
                kdc = kerberos2.utoronto.ca
                kdc = kerberos3.utoronto.ca
                admin_server = kerberos1.utoronto.ca
                default_domain = utoronto.ca
        }
[domain_realm]
        .mit.edu = ATHENA.MIT.EDU
        mit.edu = ATHENA.MIT.EDU
        .media.mit.edu = MEDIA-LAB.MIT.EDU
        media.mit.edu = MEDIA-LAB.MIT.EDU
        .csail.mit.edu = CSAIL.MIT.EDU
        csail.mit.edu = CSAIL.MIT.EDU
        .whoi.edu = ATHENA.MIT.EDU
        whoi.edu = ATHENA.MIT.EDU
        .stanford.edu = stanford.edu
        .slac.stanford.edu = SLAC.STANFORD.EDU
        .toronto.edu = UTORONTO.CA
        .utoronto.ca = UTORONTO.CA

Hier is het bestand, na onze configuratie.

Copy to Clipboard

U moet de domeininformatie wijzigen om uw netwerkomgeving weer te geven.

U bent klaar met de vereiste Kerberos-configuratie.

Nginx – Kerberos authenticatie

Installeer de Nginx-server en de vereiste pakketten.

Copy to Clipboard

In ons voorbeeld gaan we verificatie aanvragen voor gebruikers die toegang proberen te krijgen tot een map met de naam TEST.

Maak een map met de naam TEST en geef de gebruiker met de naam www-data toestemming voor deze map.

Copy to Clipboard

Configureer de Nginx-server om de PAM-verificatie aan te vragen aan gebruikers die toegang proberen te krijgen tot deze map.

Bewerk het Nginx-configuratiebestand voor de standaardwebsite.

Copy to Clipboard

Voeg de volgende configuratie toe aan dit bestand.

Copy to Clipboard

Hier is het bestand, voor onze configuratie.

Copy to Clipboard

Hier is het bestand, na onze configuratie.

Copy to Clipboard

De Nginx-server is geconfigureerd om wachtwoordverificatie aan te vragen om toegang te krijgen tot de map met de naam TEST.

De Nginx-service is geconfigureerd om gebruikersaccounts te verifiëren met behulp van de PAM-verificatiemodule.

Maak het PAM-configuratiebestand.

Copy to Clipboard

Hier is de inhoud van het bestand.

Copy to Clipboard

In ons voorbeeld gaan we de toegang tot de Nginx-service verifiëren met Kerberos.

Start de Nginx-service opnieuw.

Copy to Clipboard

Gefeliciteerd! U hebt de Nginx-verificatie geconfigureerd om Kerberos te gebruiken.

Nginx – Keberos authenticatietest

Maak een HTML-pagina die moet worden gebruikt in de verificatietest.

Copy to Clipboard

echo "<html><body><h1>Nginx authentication test</h1><script>var rocket_beacon_data = {"ajax_url":"https:\/\/techexpert.tips\/wp-admin\/admin-ajax.php","nonce":"5a891d6827","url":"https:\/\/techexpert.tips\/nl\/nginx-nl\/nginx-kerberos-authenticatie","is_mobile":false,"width_threshold":1600,"height_threshold":700,"delay":500,"debug":null,"status":{"atf":true,"lrc":true},"elements":"img, video, picture, p, main, div, li, svg, section, header, span","lrc_threshold":1800}</script><script data-name="wpr-wpr-beacon" src='https://techexpert.tips/wp-content/plugins/wp-rocket/assets/js/wpr-beacon.min.js' async></script><script>"use strict";function wprRemoveCPCSS(){var preload_stylesheets=document.querySelectorAll('link[data-rocket-async="style"][rel="preload"]');if(preload_stylesheets&&0<preload_stylesheets.length)for(var stylesheet_index=0;stylesheet_index<preload_stylesheets.length;stylesheet_index++){var media=preload_stylesheets[stylesheet_index].getAttribute("media")||"all";if(window.matchMedia(media).matches)return void setTimeout(wprRemoveCPCSS,200)}var elem=document.getElementById("rocket-critical-css");elem&&"remove"in elem&&elem.remove()}window.addEventListener?window.addEventListener("load",wprRemoveCPCSS):window.attachEvent&&window.attachEvent("onload",wprRemoveCPCSS);</script><noscript><link data-minify="1" rel='stylesheet' id='wpml-blocks-css' href='https://d1ny9casiyy5u5.cloudfront.net/wp-content/cache/min/1/wp-content/plugins/sitepress-multilingual-cms/dist/css/blocks/styles.css?ver=1732128896' type='text/css' media='all' /><link rel='stylesheet' id='wpml-menu-item-0-css' href='https://d1ny9casiyy5u5.cloudfront.net/wp-content/plugins/sitepress-multilingual-cms/templates/language-switchers/menu-item/style.min.css?ver=1' type='text/css' media='all' /><link rel='stylesheet' id='fusion-core-comment-form-css' href='https://d1ny9casiyy5u5.cloudfront.net/wp-content/plugins/fusion-core/css/comment-form.min.css?ver=5.11.11' type='text/css' media='all' /><link rel='stylesheet' id='fusion-core-privacy-css' href='https://d1ny9casiyy5u5.cloudfront.net/wp-content/plugins/fusion-core/css/privacy.min.css?ver=5.11.11' type='text/css' media='all' /><link rel='stylesheet' id='avada-stylesheet-css' href='https://d1ny9casiyy5u5.cloudfront.net/wp-content/themes/Avada/assets/css/style.min.css?ver=7.11.11' type='text/css' media='all' /><link rel='stylesheet' id='wp-codemirror-css' href='https://d1ny9casiyy5u5.cloudfront.net/wp-includes/js/codemirror/codemirror.min.css?ver=5.29.1-alpha-ee20357' type='text/css' media='all' /><link rel='stylesheet' id='code-editor-css' href='https://techexpert.tips/wp-admin/css/code-editor.min.css?ver=6.7' type='text/css' media='all' /><link rel='stylesheet' id='wp-block-library-css' href='https://d1ny9casiyy5u5.cloudfront.net/wp-includes/css/dist/block-library/style.min.css?ver=6.7' type='text/css' media='all' /></noscript></body></html>" > /var/www/html/test/test.html
chown www-data.www-data /var/www/html/test -R

In ons voorbeeld hebben we een HTML-pagina gemaakt met de naam TEST.

Open uw browser en voer het IP-adres van uw Nginx-webserver in.

In ons voorbeeld is de volgende URL ingevoerd in de browser:

• http://192.168.15.11

De standaardpagina Nginx wordt weergegeven.

Open uw browser en voer het IP-adres van uw webserver plus /test in.

In ons voorbeeld is de volgende URL ingevoerd in de browser:

• http://192.168.15.11/test/test.html

Voer op het inlogscherm een Active Directory-gebruikersnaam en het wachtwoord in.

• Username: admin
• Wachtwoord: kamisama123..

Na een succesvolle aanmelding krijgt u toegang tot de map met de naam TEST.

Gefeliciteerd! U hebt de Kerberos-verificatie op de Nginx-server geconfigureerd.

Nginx – Kerberos authenticatie

Nginx – Kerberos authenticatie

Uitrustingslijst

Nginx – Gerelateerde tutorial:

Zelfstudie Windows – Domeinaccount maken

Nginx – Kerberos-verificatie in de Active Directory

Nginx – Kerberos authenticatie

Nginx – Keberos authenticatietest

Related Posts