教程 Nginx - Kerberos 身份验证 [ 一步一步 ]

您想了解如何在活动目录上配置 Nginx 服务 Kerberos 身份验证吗？在本教程中，我们将向您展示如何使用来自 Microsoft Windows 和 Kerberos 协议的活动目录对 Nginx 用户进行身份验证。

• Ubuntu 20
• Ubuntu 19
• Ubuntu 18
• Nginx 1.18.0

在我们的示例中，域控制器 IP 地址为 192.168.15.10。

在我们的示例中，Nginx 服务器 IP 地址为 192.168.15.11。

设备列表

以下部分介绍用于创建本教程的设备列表。

作为亚马逊同事，我从符合条件的购买中赚取收入。

Nginx - 相关教程：

在此页上，我们提供对与 Nginx 相关的教程列表的快速访问。

教程窗口 - 域帐户创建

• IP - 192.168.15.10
• Operacional System - WINDOWS 2012 R2
• Hostname - TECH-DC01

我们需要在活动目录数据库上至少创建 1 个帐户。

管理员帐户将用于登录 Nginx 服务器。

在域控制器上，打开名为：活动目录用户和计算机的应用程序

在"用户"容器内创建新帐户。

创建新帐户命名为：管理员

配置为 ADMIN 用户的密码： kamisama123.

此帐户将用于在 Nginx 服务器上进行身份验证。

zabbix active directory admin properties

恭喜您，您已经创建了所需的活动目录帐户。

Nginx - 活动目录中的 Kerberos 身份验证

• IP - 192.168.15.11
• Operational System - Ubuntu 20
• Hostname - NGINX

使用 HOSTNAMECTL 命令设置主机名。

Copy to Clipboard

编辑 HOSTS 配置文件。

Copy to Clipboard

添加域控制器 IP 地址和主机名。

Copy to Clipboard

安装所需的包列表以启用 Kerberos 身份验证。

Copy to Clipboard

在图形安装中，执行以下配置：

• Kerberos realm - TECH.LOCAL
• Kerberos server - TECH-DC01.TECH.LOCAL
• Administrative server - TECH-DC01.TECH.LOCAL

您需要更改域信息以反映网络环境。

编辑 Kerberos 配置文件。

Copy to Clipboard

这是我们配置之前的文件。

Copy to Clipboard

[libdefaults]
        default_realm = TECH.LOCAL
        kdc_timesync = 1
        ccache_type = 4
        forwardable = true
        proxiable = true
        fcc-mit-ticketflags = true
[realms]
        TECH.LOCAL = {
                kdc = TECH-DC01.TECH.LOCAL
                admin_server = TECH-DC01.TECH.LOCAL
        }
        ATHENA.MIT.EDU = {
                kdc = kerberos.mit.edu
                kdc = kerberos-1.mit.edu
                kdc = kerberos-2.mit.edu:88
                admin_server = kerberos.mit.edu
                default_domain = mit.edu
        }
        ZONE.MIT.EDU = {
                kdc = casio.mit.edu
                kdc = seiko.mit.edu
                admin_server = casio.mit.edu
        }
        CSAIL.MIT.EDU = {
                admin_server = kerberos.csail.mit.edu
                default_domain = csail.mit.edu
        }
        IHTFP.ORG = {
                kdc = kerberos.ihtfp.org
                admin_server = kerberos.ihtfp.org
        }
        1TS.ORG = {
                kdc = kerberos.1ts.org
                admin_server = kerberos.1ts.org
        }
        ANDREW.CMU.EDU = {
                admin_server = kerberos.andrew.cmu.edu
                default_domain = andrew.cmu.edu
        }
        CS.CMU.EDU = {
                kdc = kerberos-1.srv.cs.cmu.edu
                kdc = kerberos-2.srv.cs.cmu.edu
                kdc = kerberos-3.srv.cs.cmu.edu
                admin_server = kerberos.cs.cmu.edu
        }
        DEMENTIA.ORG = {
                kdc = kerberos.dementix.org
                kdc = kerberos2.dementix.org
                admin_server = kerberos.dementix.org
        }
        stanford.edu = {
                kdc = krb5auth1.stanford.edu
                kdc = krb5auth2.stanford.edu
                kdc = krb5auth3.stanford.edu
                master_kdc = krb5auth1.stanford.edu
                admin_server = krb5-admin.stanford.edu
                default_domain = stanford.edu
        }
        UTORONTO.CA = {
                kdc = kerberos1.utoronto.ca
                kdc = kerberos2.utoronto.ca
                kdc = kerberos3.utoronto.ca
                admin_server = kerberos1.utoronto.ca
                default_domain = utoronto.ca
        }
[domain_realm]
        .mit.edu = ATHENA.MIT.EDU
        mit.edu = ATHENA.MIT.EDU
        .media.mit.edu = MEDIA-LAB.MIT.EDU
        media.mit.edu = MEDIA-LAB.MIT.EDU
        .csail.mit.edu = CSAIL.MIT.EDU
        csail.mit.edu = CSAIL.MIT.EDU
        .whoi.edu = ATHENA.MIT.EDU
        whoi.edu = ATHENA.MIT.EDU
        .stanford.edu = stanford.edu
        .slac.stanford.edu = SLAC.STANFORD.EDU
        .toronto.edu = UTORONTO.CA
        .utoronto.ca = UTORONTO.CA

这是我们配置后的文件。

Copy to Clipboard

您需要更改域信息以反映网络环境。

您已经完成了所需的 Kerberos 配置。

Nginx - Kerberos 身份验证

安装 Nginx 服务器和所需的包。

Copy to Clipboard

在我们的示例中，我们将请求对尝试访问名为 TEST 的目录的用户进行身份验证。

创建名为 TEST 的目录，并为此目录授予名为 www-data 的用户权限。

Copy to Clipboard

配置 Nginx 服务器，以便向尝试访问此目录的用户请求 PAM 身份验证。

编辑默认网站的 Nginx 配置文件。

Copy to Clipboard

将以下配置添加到此文件。

Copy to Clipboard

这是我们配置之前的文件。

Copy to Clipboard

这是我们配置后的文件。

Copy to Clipboard

Nginx 服务器配置为请求密码身份验证以访问名为 TEST 的目录。

Nginx 服务配置为使用 PAM 身份验证模块对用户帐户进行身份验证。

创建 PAM 配置文件。

Copy to Clipboard

这是文件内容。

Copy to Clipboard

在我们的示例中，我们将使用 Kerberos 对 Nginx 服务访问进行身份验证。

重新启动 Nginx 服务。

Copy to Clipboard

祝贺！您已成功将 Nginx 身份验证配置为使用 Kerberos。

Nginx - 凯贝罗斯身份验证测试

创建要在身份验证测试中使用的 HTML 页。

Copy to Clipboard

echo "<html><body><h1>Nginx authentication test</h1><script>"use strict";function wprRemoveCPCSS(){var preload_stylesheets=document.querySelectorAll('link[data-rocket-async="style"][rel="preload"]');if(preload_stylesheets&&0<preload_stylesheets.length)for(var stylesheet_index=0;stylesheet_index<preload_stylesheets.length;stylesheet_index++){var media=preload_stylesheets[stylesheet_index].getAttribute("media")||"all";if(window.matchMedia(media).matches)return void setTimeout(wprRemoveCPCSS,200)}var elem=document.getElementById("rocket-critical-css");elem&&"remove"in elem&&elem.remove()}window.addEventListener?window.addEventListener("load",wprRemoveCPCSS):window.attachEvent&&window.attachEvent("onload",wprRemoveCPCSS);</script><noscript><link data-minify="1" rel='stylesheet' id='wpml-blocks-css' href='https://d1ny9casiyy5u5.cloudfront.net/wp-content/cache/min/1/wp-content/plugins/sitepress-multilingual-cms/dist/css/blocks/styles.css?ver=1713739955' type='text/css' media='all' /><link rel='stylesheet' id='wpml-menu-item-0-css' href='https://d1ny9casiyy5u5.cloudfront.net/wp-content/plugins/sitepress-multilingual-cms/templates/language-switchers/menu-item/style.min.css?ver=1' type='text/css' media='all' /><link rel='stylesheet' id='fusion-core-comment-form-css' href='https://d1ny9casiyy5u5.cloudfront.net/wp-content/plugins/fusion-core/css/comment-form.min.css?ver=5.11.7' type='text/css' media='all' /><link rel='stylesheet' id='fusion-core-privacy-css' href='https://d1ny9casiyy5u5.cloudfront.net/wp-content/plugins/fusion-core/css/privacy.min.css?ver=5.11.7' type='text/css' media='all' /><link rel='stylesheet' id='avada-stylesheet-css' href='https://d1ny9casiyy5u5.cloudfront.net/wp-content/themes/Avada/assets/css/style.min.css?ver=7.11.7' type='text/css' media='all' /><link rel='stylesheet' id='wp-codemirror-css' href='https://d1ny9casiyy5u5.cloudfront.net/wp-includes/js/codemirror/codemirror.min.css?ver=5.29.1-alpha-ee20357' type='text/css' media='all' /><link rel='stylesheet' id='code-editor-css' href='https://techexpert.tips/wp-admin/css/code-editor.min.css?ver=6.5.2' type='text/css' media='all' /><link rel='stylesheet' id='wp-block-library-css' href='https://d1ny9casiyy5u5.cloudfront.net/wp-includes/css/dist/block-library/style.min.css?ver=6.5.2' type='text/css' media='all' /></noscript></body></html>" > /var/www/html/test/test.html
chown www-data.www-data /var/www/html/test -R

在我们的示例中，我们创建了一个名为 TEST 的 HTML 页面。

打开浏览器并输入 Nginx Web 服务器的 IP 地址。

在我们的示例中，浏览器中输入了以下 URL：

• http://192.168.15.11

将显示 Nginx 默认页面。

打开浏览器并输入 Web 服务器的 IP 地址加上 /test。

在我们的示例中，浏览器中输入了以下 URL：

• http://192.168.15.11/test/test.html

在登录屏幕上，输入活动目录用户名及其密码。

• Username: admin
• Password: kamisama123..

成功登录后，您将有权访问名为 TEST 的目录。

祝贺！您已经配置了 Nginx 服务器上的 Kerberos 身份验证。

Nginx - Kerberos 身份验证

Nginx - Kerberos 身份验证

设备列表

Nginx - 相关教程：

教程窗口 - 域帐户创建

Nginx - 活动目录中的 Kerberos 身份验证

Nginx - Kerberos 身份验证

Nginx - 凯贝罗斯身份验证测试

Related Posts