Хотите узнать, как настроить сервер Nginx для использования проверки подлинности LDAP в Active Directory? В этом учебнике мы покажем вам, как проверить подлинность сервиса Nginx в Active Directory с помощью протокола LDAP на компьютере под управлением Ubuntu Linux.

• Ubuntu 20
• Ubuntu 19
• Ubuntu 18
• Nginx 1.18.0
• Windows 2012 R2

Список оборудования

В следующем разделе представлен список оборудования, используемого для создания этого учебника.

Как Amazon Associate, я зарабатываю от квалификационных покупок.

Nginx — Связанные Учебник:

На этой странице мы предлагаем быстрый доступ к списку учебников, связанных с Nginx.

Учебник — Брандмауэр контроллера домена Windows

• IP — 192.168.15.10
• Operacional System — WINDOWS 2012 R2
• Hostname — TECH-DC01

Во-первых, нам нужно создать правило брандмауэра на контроллере домена Windows.

Это правило брандмауэра позволит серверу Nginx запросить базу данных Active Directory.

На контроллере домена откройте приложение под названием Windows Firewall с расширенной безопасностью

Создайте новое правило входящего брандмауэра.

zabbix active directory

Выберите опцию PORT.

zabbix windows firewall port

Выберите опцию TCP.

Выберите опцию Специфические локальные порты.

Введите порт TCP 389.

zabbix windows firewall port ldap

Выберите опцию Разрешить подключение.

zabbix windows firewall allow connection

Проверьте опцию DOMAIN.

Проверьте опцию PRIVATE.

Проверьте опцию PUBLIC.

Zabbix windows firewall profile

Введите описание в правило брандмауэра.

windows firewall active directory

Поздравляем, вы создали необходимое правило брандмауэра.

Это правило позволит серверу Nginx запросить базу данных Active Directory.

Учебник — Создание домена Windows

Далее нам необходимо создать не менее 2 учетных записей в базе данных Active Directory.

Учетная запись ADMIN будет использоваться для входа на сервер Nginx.

Учетная запись BIND будет использоваться для запроса базы данных Active Directory.

На контроллере домена откройте приложение под названием: Активные пользователи каталога и компьютеры

Создайте новую учетную запись в контейнере пользователей.

Zabbix active directory account

Создание новой учетной записи с именем: Админ

Пароль, настроенный для пользователя ADMIN: 123qwe..

Эта учетная запись будет использоваться для проверки подлинности веб-интерфейса Nginx.

active directory admin account
zabbix active directory admin properties

Создание новой учетной записи с именем: свяжите

Пароль, настроенный для пользователя BIND: kamisama123.

Эта учетная запись будет использоваться для запроса паролей, хранящихся в базе данных Active Directory.

active directory bind account
zabbix active directory ldap bind properties

Поздравляем, вы создали необходимые учетные записи Active Directory.

Учебник Nginx — проверка подлинности LDAP

• IP — 192.168.15.20
• Operational System — Ubuntu 20.04
• Hostname — NGINX

Установите сервер Nginx.

Copy to Clipboard

Отредактируйте файл конфигурации Nginx для веб-сайта по умолчанию.

Copy to Clipboard

Вот файл перед нашей конфигурацией.

Copy to Clipboard

Вот файл после нашей конфигурации.

Copy to Clipboard

В нашем примере конфигурация Nginx требует проверки подлинности пользователя для доступа к любой части веб-сайта.

Nginx не имеет нативной проверки подлинности LDAP.

Информация о аутентификации, отправленная в Nginx, будет переадехана на веб-сервер 192.168.15.30.

Если удаленный сервер проверяет аутентификацию пользователя, Nginx разрешит доступ к пользователю.

Перезапустите сервис Nginx.

Copy to Clipboard

Вы закончили необходимую конфигурацию Nginx.

Nginx — Использование Apache в качестве прокси-сервера проверки подлинности

• IP — 192.168.15.30
• Operational System — Ubuntu 20.04
• Hostname — APACHE

Теперь нам нужно настроить удаленный сервер, который будет отвечать за проверку учетных данных.

В нашем примере мы собираемся использовать сервер Apache для проверки учетных данных пользователя на сервере LDAP.

Установите сервер Apache и необходимый модуль проверки подлинности LDAP.

Copy to Clipboard

Включите модуль аутентификации Apache2 LDAP.

Copy to Clipboard

Создайте каталог под названием AUTH и дайте пользователю по имени www-data разрешение на этот каталог.

Copy to Clipboard

Настройте сервер Apache, чтобы запросить проверку подлинности LDAP для пользователей, пытающихся получить доступ к этому каталогу.

Отредактируйте файл конфигурации Apache для веб-сайта по умолчанию.

Copy to Clipboard

Вот файл конфигурации перед нашей конфигурацией.

Copy to Clipboard

Вот файл после нашей конфигурации.

Copy to Clipboard

Сервер Apache был настроен для запроса проверки подлинности пароля для доступа к каталогу под названием AUTH.

Веб-сервер Apache был настроен для проверки подлинности учетных записей пользователей с помощью сервера LDAP 192.168.15.10.

Веб-сервер Apache был настроен для использования домена Active Directory: TECH. Местных.

Перезапустите службу Apache.

Copy to Clipboard

Поздравляю! Вы успешно настроили аутентификацию Apache.

Nginx — тест на аутентификацию LDAP

Откройте браузер и введите IP-адрес вашего веб-сервера Nginx.

В нашем примере в браузер был введен следующий URL::

• http://192.168.15.20

Сервер Nginx потребует от вас выполнения проверки подлинности пользователя.

Nginx authentication

После успешного входа, вы будете уполномочены получить доступ к веб-сайту.

nginx welcome

Поздравляю! Вы настроили аутентификацию LDAP на сервере Nginx для использования Active Directory.