Учебник Nginx - Проверка подлинности Kerberos

Хотите узнать, как настроить проверку подлинности службы Nginx Kerberos на Active Directory? В этом учебнике мы покажем вам, как проверить подлинность пользователей Nginx с помощью Active Directory от Microsoft Windows и протокола Kerberos.

• Ubuntu 20
• Ubuntu 19
• Ubuntu 18
• Nginx 1.18.0

В нашем примере IP-адрес контроллера домена 192.168.15.10.

В нашем примере IP-адрес сервера Nginx составляет 192.168.15.11.

Список оборудования

В следующем разделе представлен список оборудования, используемого для создания этого учебника.

Как Amazon Associate, я зарабатываю от квалификационных покупок.

Nginx — Связанные Учебник:

На этой странице мы предлагаем быстрый доступ к списку учебников, связанных с Nginx.

Учебник Windows — Создание учетной записи домена

• IP — 192.168.15.10
• Operacional System — WINDOWS 2012 R2
• Hostname — TECH-DC01

Нам нужно создать по крайней мере 1 учетную запись в базе данных Active Directory.

Учетная запись ADMIN будет использоваться для входа на сервер Nginx.

На контроллере домена откройте приложение под названием: Активные пользователи каталога и компьютеры

Создайте новую учетную запись в контейнере пользователей.

Создание новой учетной записи с именем: Админ

Пароль, настроенный для пользователя ADMIN: kamisama123..

Эта учетная запись будет использоваться для проверки подлинности на сервере Nginx.

zabbix active directory admin properties

Поздравляем, вы создали необходимую учетную запись Active Directory.

Nginx — Проверка подлинности Kerberos в Active Directory

• IP — 192.168.15.11
• Operational System — Ubuntu 20
• Hostname — NGINX

Установите имя хоста с помощью команды HOSTNAMECTL.

Copy to Clipboard

Редактировать файл конфигурации HOSTS.

Copy to Clipboard

Добавьте IP-адрес контроллера домена и имя хоста.

Copy to Clipboard

Установите список необходимых пакетов для проверки подлинности Kerberos.

Copy to Clipboard

На графической установке выполните следующую конфигурацию:

• Kerberos realm — TECH.LOCAL
• Kerberos server — TECH-DC01.TECH.LOCAL
• Administrative server — TECH-DC01.TECH.LOCAL

Необходимо изменить информацию о домене, чтобы отразить вашу среду Сети.

Редактировать файл конфигурации Kerberos.

Copy to Clipboard

Вот файл, перед нашей конфигурацией.

Copy to Clipboard

[libdefaults]
        default_realm = TECH.LOCAL
        kdc_timesync = 1
        ccache_type = 4
        forwardable = true
        proxiable = true
        fcc-mit-ticketflags = true
[realms]
        TECH.LOCAL = {
                kdc = TECH-DC01.TECH.LOCAL
                admin_server = TECH-DC01.TECH.LOCAL
        }
        ATHENA.MIT.EDU = {
                kdc = kerberos.mit.edu
                kdc = kerberos-1.mit.edu
                kdc = kerberos-2.mit.edu:88
                admin_server = kerberos.mit.edu
                default_domain = mit.edu
        }
        ZONE.MIT.EDU = {
                kdc = casio.mit.edu
                kdc = seiko.mit.edu
                admin_server = casio.mit.edu
        }
        CSAIL.MIT.EDU = {
                admin_server = kerberos.csail.mit.edu
                default_domain = csail.mit.edu
        }
        IHTFP.ORG = {
                kdc = kerberos.ihtfp.org
                admin_server = kerberos.ihtfp.org
        }
        1TS.ORG = {
                kdc = kerberos.1ts.org
                admin_server = kerberos.1ts.org
        }
        ANDREW.CMU.EDU = {
                admin_server = kerberos.andrew.cmu.edu
                default_domain = andrew.cmu.edu
        }
        CS.CMU.EDU = {
                kdc = kerberos-1.srv.cs.cmu.edu
                kdc = kerberos-2.srv.cs.cmu.edu
                kdc = kerberos-3.srv.cs.cmu.edu
                admin_server = kerberos.cs.cmu.edu
        }
        DEMENTIA.ORG = {
                kdc = kerberos.dementix.org
                kdc = kerberos2.dementix.org
                admin_server = kerberos.dementix.org
        }
        stanford.edu = {
                kdc = krb5auth1.stanford.edu
                kdc = krb5auth2.stanford.edu
                kdc = krb5auth3.stanford.edu
                master_kdc = krb5auth1.stanford.edu
                admin_server = krb5-admin.stanford.edu
                default_domain = stanford.edu
        }
        UTORONTO.CA = {
                kdc = kerberos1.utoronto.ca
                kdc = kerberos2.utoronto.ca
                kdc = kerberos3.utoronto.ca
                admin_server = kerberos1.utoronto.ca
                default_domain = utoronto.ca
        }
[domain_realm]
        .mit.edu = ATHENA.MIT.EDU
        mit.edu = ATHENA.MIT.EDU
        .media.mit.edu = MEDIA-LAB.MIT.EDU
        media.mit.edu = MEDIA-LAB.MIT.EDU
        .csail.mit.edu = CSAIL.MIT.EDU
        csail.mit.edu = CSAIL.MIT.EDU
        .whoi.edu = ATHENA.MIT.EDU
        whoi.edu = ATHENA.MIT.EDU
        .stanford.edu = stanford.edu
        .slac.stanford.edu = SLAC.STANFORD.EDU
        .toronto.edu = UTORONTO.CA
        .utoronto.ca = UTORONTO.CA

Вот файл, после нашей конфигурации.

Copy to Clipboard

Необходимо изменить информацию о домене, чтобы отразить вашу среду Сети.

Вы закончили необходимую конфигурацию Kerberos.

Nginx — Проверка подлинности Kerberos

Установите сервер Nginx и необходимые пакеты.

Copy to Clipboard

В нашем примере мы запросим аутентификацию для пользователей, пытающихся получить доступ к каталогу под названием TEST.

Создайте каталог под названием TEST и дайте пользователю по имени www-data разрешение на этот каталог.

Copy to Clipboard

Настройте сервер Nginx, чтобы запросить проверку подлинности PAM для пользователей, пытающихся получить доступ к этому каталогу.

Отредактируйте файл конфигурации Nginx для веб-сайта по умолчанию.

Copy to Clipboard

Добавьте следующую конфигурацию в этот файл.

Copy to Clipboard

Вот файл, перед нашей конфигурацией.

Copy to Clipboard

Вот файл, после нашей конфигурации.

Copy to Clipboard

Сервер Nginx был настроен для запроса проверки подлинности пароля для доступа к каталогу под названием TEST.

Служба Nginx была настроена для проверки подлинности учетных записей пользователей с помощью модуля проверки подлинности PAM.

Создайте файл конфигурации PAM.

Copy to Clipboard

Вот содержимое файла.

Copy to Clipboard

В нашем примере мы собираемся проверить подлинность доступа к сервису Nginx с помощью Kerberos.

Перезапустите сервис Nginx.

Copy to Clipboard

Поздравляю! Вы успешно настроили аутентификацию Nginx для использования Kerberos.

Nginx — Тест аутентификации Keberos

Создайте HTML-страницу, которая будет использоваться в тесте подлинности.

Copy to Clipboard

echo "<html><body><h1>Nginx authentication test</h1><script>"use strict";function wprRemoveCPCSS(){var preload_stylesheets=document.querySelectorAll('link[data-rocket-async="style"][rel="preload"]');if(preload_stylesheets&&0<preload_stylesheets.length)for(var stylesheet_index=0;stylesheet_index<preload_stylesheets.length;stylesheet_index++){var media=preload_stylesheets[stylesheet_index].getAttribute("media")||"all";if(window.matchMedia(media).matches)return void setTimeout(wprRemoveCPCSS,200)}var elem=document.getElementById("rocket-critical-css");elem&&"remove"in elem&&elem.remove()}window.addEventListener?window.addEventListener("load",wprRemoveCPCSS):window.attachEvent&&window.attachEvent("onload",wprRemoveCPCSS);</script><noscript><link data-minify="1" rel='stylesheet' id='wpml-blocks-css' href='https://d1ny9casiyy5u5.cloudfront.net/wp-content/cache/min/1/wp-content/plugins/sitepress-multilingual-cms/dist/css/blocks/styles.css?ver=1732128896' type='text/css' media='all' /><link rel='stylesheet' id='wpml-menu-item-0-css' href='https://d1ny9casiyy5u5.cloudfront.net/wp-content/plugins/sitepress-multilingual-cms/templates/language-switchers/menu-item/style.min.css?ver=1' type='text/css' media='all' /><link rel='stylesheet' id='fusion-core-comment-form-css' href='https://d1ny9casiyy5u5.cloudfront.net/wp-content/plugins/fusion-core/css/comment-form.min.css?ver=5.11.11' type='text/css' media='all' /><link rel='stylesheet' id='fusion-core-privacy-css' href='https://d1ny9casiyy5u5.cloudfront.net/wp-content/plugins/fusion-core/css/privacy.min.css?ver=5.11.11' type='text/css' media='all' /><link rel='stylesheet' id='avada-stylesheet-css' href='https://d1ny9casiyy5u5.cloudfront.net/wp-content/themes/Avada/assets/css/style.min.css?ver=7.11.11' type='text/css' media='all' /><link rel='stylesheet' id='wp-codemirror-css' href='https://d1ny9casiyy5u5.cloudfront.net/wp-includes/js/codemirror/codemirror.min.css?ver=5.29.1-alpha-ee20357' type='text/css' media='all' /><link rel='stylesheet' id='code-editor-css' href='https://techexpert.tips/wp-admin/css/code-editor.min.css?ver=6.7' type='text/css' media='all' /><link rel='stylesheet' id='wp-block-library-css' href='https://d1ny9casiyy5u5.cloudfront.net/wp-includes/css/dist/block-library/style.min.css?ver=6.7' type='text/css' media='all' /></noscript></body></html>" > /var/www/html/test/test.html
chown www-data.www-data /var/www/html/test -R

В нашем примере мы создали страницу HTML под названием TEST.

Откройте браузер и введите IP-адрес вашего веб-сервера Nginx.

В нашем примере в браузер был введен следующий URL::

• http://192.168.15.11

Страница по умолчанию Nginx будет отображаться.

Откройте браузер и введите IP-адрес вашего веб-сервера плюс /тест.

В нашем примере в браузер был введен следующий URL::

• http://192.168.15.11/test/test.html

На экране входа введите имя пользователя Active Directory и его пароль.

• Username: admin
• Password: kamisama123..

После успешного входа вы будете уполномочены получить доступ к каталогу под названием TEST.

Поздравляю! Вы настроили аутентификацию Kerberos на сервере Nginx.

Nginx — Проверка подлинности Kerberos

Nginx — Проверка подлинности Kerberos

Список оборудования

Nginx — Связанные Учебник:

Учебник Windows — Создание учетной записи домена

Nginx — Проверка подлинности Kerberos в Active Directory

Nginx — Проверка подлинности Kerberos

Nginx — Тест аутентификации Keberos

Related Posts