教程 Apache - Kerberos 身份验证 [ 一步一步]

您想了解如何在活动目录上配置 Apache 服务 Kerberos 身份验证吗？在本教程中，我们将向您展示如何使用来自 Microsoft Windows 和 Kerberos 协议的活动目录对 Apache 用户进行身份验证。

• Ubuntu 20
• Ubuntu 19
• Ubuntu 18
• Apache 2.4.41
• Windows 2012 R2

在我们的示例中，域控制器 IP 地址为 192.168.15.10。

在我们的示例中，Apache 服务器 IP 地址为 192.168.15.11。

阿帕奇 – 相关教程：

在此页上，我们提供快速访问与 Apache 相关的教程列表。

教程窗口 – 域帐户创建

• IP – 192.168.15.10
• Operacional System – WINDOWS 2012 R2
• Hostname – TECH-DC01

我们需要在活动目录数据库上至少创建 1 个帐户。

ADMIN 帐户将用于在 Apache 服务器上登录。

在域控制器上，打开名为：活动目录用户和计算机的应用程序

在”用户”容器内创建新帐户。

创建新帐户命名为：管理员

配置为 ADMIN 用户的密码： kamisama123.

此帐户将用于在 Apache 服务器上进行身份验证。

zabbix active directory admin properties

恭喜您，您已经创建了所需的活动目录帐户。

Apache – 活动目录中的 Kerberos 身份验证

• IP – 192.168.15.11
• Operational System – Ubuntu 20
• Hostname – APACHE

使用 HOSTNAMECTL 命令设置主机名。

Copy to Clipboard

编辑 HOSTS 配置文件。

Copy to Clipboard

添加域控制器 IP 地址和主机名。

Copy to Clipboard

安装 Apache 服务器、Kerberos 模块和所需软件列表。

Copy to Clipboard

在图形安装中，执行以下配置：

• Kerberos realm – TECH.LOCAL
• Kerberos server – TECH-DC01.TECH.LOCAL
• Administrative server – TECH-DC01.TECH.LOCAL

您需要更改域信息以反映网络环境。

编辑 Kerberos 配置文件。

Copy to Clipboard

这是我们配置之前的文件。

Copy to Clipboard

[libdefaults]
        default_realm = TECH.LOCAL
        kdc_timesync = 1
        ccache_type = 4
        forwardable = true
        proxiable = true
        fcc-mit-ticketflags = true
[realms]
        TECH.LOCAL = {
                kdc = TECH-DC01.TECH.LOCAL
                admin_server = TECH-DC01.TECH.LOCAL
        }
        ATHENA.MIT.EDU = {
                kdc = kerberos.mit.edu
                kdc = kerberos-1.mit.edu
                kdc = kerberos-2.mit.edu:88
                admin_server = kerberos.mit.edu
                default_domain = mit.edu
        }
        ZONE.MIT.EDU = {
                kdc = casio.mit.edu
                kdc = seiko.mit.edu
                admin_server = casio.mit.edu
        }
        CSAIL.MIT.EDU = {
                admin_server = kerberos.csail.mit.edu
                default_domain = csail.mit.edu
        }
        IHTFP.ORG = {
                kdc = kerberos.ihtfp.org
                admin_server = kerberos.ihtfp.org
        }
        1TS.ORG = {
                kdc = kerberos.1ts.org
                admin_server = kerberos.1ts.org
        }
        ANDREW.CMU.EDU = {
                admin_server = kerberos.andrew.cmu.edu
                default_domain = andrew.cmu.edu
        }
        CS.CMU.EDU = {
                kdc = kerberos-1.srv.cs.cmu.edu
                kdc = kerberos-2.srv.cs.cmu.edu
                kdc = kerberos-3.srv.cs.cmu.edu
                admin_server = kerberos.cs.cmu.edu
        }
        DEMENTIA.ORG = {
                kdc = kerberos.dementix.org
                kdc = kerberos2.dementix.org
                admin_server = kerberos.dementix.org
        }
        stanford.edu = {
                kdc = krb5auth1.stanford.edu
                kdc = krb5auth2.stanford.edu
                kdc = krb5auth3.stanford.edu
                master_kdc = krb5auth1.stanford.edu
                admin_server = krb5-admin.stanford.edu
                default_domain = stanford.edu
        }
        UTORONTO.CA = {
                kdc = kerberos1.utoronto.ca
                kdc = kerberos2.utoronto.ca
                kdc = kerberos3.utoronto.ca
                admin_server = kerberos1.utoronto.ca
                default_domain = utoronto.ca
        }
[domain_realm]
        .mit.edu = ATHENA.MIT.EDU
        mit.edu = ATHENA.MIT.EDU
        .media.mit.edu = MEDIA-LAB.MIT.EDU
        media.mit.edu = MEDIA-LAB.MIT.EDU
        .csail.mit.edu = CSAIL.MIT.EDU
        csail.mit.edu = CSAIL.MIT.EDU
        .whoi.edu = ATHENA.MIT.EDU
        whoi.edu = ATHENA.MIT.EDU
        .stanford.edu = stanford.edu
        .slac.stanford.edu = SLAC.STANFORD.EDU
        .toronto.edu = UTORONTO.CA
        .utoronto.ca = UTORONTO.CA

这是我们配置后的文件。

Copy to Clipboard

您需要更改域信息以反映网络环境。

作为域管理员启动 Kerberos 会话。

Copy to Clipboard

列出 Kerberos 会话。

Copy to Clipboard

下面是命令输出。

Copy to Clipboard

将 Apache 服务器添加为域计算机。

Copy to Clipboard

您需要更改域信息以反映网络环境。

您需要更改主机名。

作为域管理员停止 Kerberos 会话。

Copy to Clipboard

将密钥文件移动到正确的位置。

Copy to Clipboard

在我们的示例中，我们将请求对尝试访问名为 TEST 的目录的用户进行身份验证。

创建名为 TEST 的目录，并为此目录授予名为 www-data 的用户权限。

Copy to Clipboard

配置 Apache 服务器，以便向尝试访问此目录的用户请求 Kerberos 身份验证。

编辑 Apache 配置文件。

Copy to Clipboard

这是我们配置之前的文件。

Copy to Clipboard

这是我们配置后的文件。

Copy to Clipboard

Apache 服务器配置为请求密码身份验证以访问名为 TEST 的目录。

Apache 服务配置为使用 Kerberos 对用户帐户进行身份验证。

您需要更改域信息以反映网络环境。

重新启动 Apache 服务。

Copy to Clipboard

祝贺！您成功地将 Apache 身份验证配置为使用 Kerberos。

Apache – Kerberos 身份验证测试

打开浏览器并输入 Apache Web 服务器的 IP 地址。

在我们的示例中，浏览器中输入了以下 URL：

• http://192.168.15.11

将显示 Apache 默认页。

打开浏览器并输入 Web 服务器的 IP 地址加上 /test。

在我们的示例中，浏览器中输入了以下 URL：

• http://192.168.15.11/test

在登录屏幕上，输入活动目录用户名及其密码。

• Username: admin
• Password: kamisama123..

成功登录后，您将有权访问名为 TEST 的目录。

祝贺！您已经配置了 Apache 服务器上的 Kerberos 身份验证。

Apache – 克贝罗斯身份验证

Apache – 克贝罗斯身份验证

设备列表

阿帕奇 – 相关教程：

教程窗口 – 域帐户创建

Apache – 活动目录中的 Kerberos 身份验证

Apache – Kerberos 身份验证测试

Apache – 克贝罗斯身份验证

Apache – 克贝罗斯身份验证

设备列表

阿帕奇 – 相关教程：

教程窗口 – 域帐户创建

Apache – 活动目录中的 Kerberos 身份验证

Apache – Kerberos 身份验证测试

Related Posts