Удалите её, и замените следующим: auth Настройка авторизации Linux-машин (Ubuntu) в Active Directory. Исторически сложилось, что у нас на факультете . Аутентификация клиентов Linux с помощью Active Directory. В файл /etc/pam.d/system-auth необходимо внести еще одно .
Если авторизация проходит нормально, и AD выдаёт нам ключ, можно приступать к следующему шагу. Создание ключа Kerberos для UNIX- машины. Открываем Administrative Tools - > Active Directory Users and. Computers - > Computers - > клик правой кнопкой - > New - > Computer. Вводим имя учётной записи — в нашем примере это будет linuxbox. Жмём Next, Next. Finish. В списке компьютеров должна появиться учётная запись linuxbox.
Теперь нам нужно создать ключ, который Apache на UNIX- машине будет использовать для аутентификации доменных пользователей. Ключ создаётся на. Фильм Законопослушный Гражданин Википедия тут.
Всем Привет! Нужно организовать авторизацию/аутентификацию пользователей на Linux-сервере с использованием данных, . Подготовка клиентской станции (подключение к домену AD), настройка и установка аутентификации и авторизации c помощью сервиса SSSD. Предоставить доступ к сервисам на Linux сервере.
Windows- машине с помощью утилиты ktpass. В Windows Server 2.
Microsoft Server Support. Tools, имеющегося на диске. Windows Server. В Windows Server 2.
Открываем окно командной строки (cmd. Для Windows Server 2. HTTP/linuxbox. ipi. IPI. LOCAL - mapuser linuxbox$@IPI. LOCAL - crypto RC4- HMAC- NT - ptype KRB5.
Вместо linuxbox. ipi. DNS- имя вашей UNIX- машины, на которой будет запущен IPI. Manager, а вместо IPI. LOCAL — ваш домен. Обратите внимание, после имени здесь добавляется знак $, чтобы команда ktpass. На вопрос «Reset LINUXBOX$’s password . После чего проверить его.
Шифрование тоже должно совпадать. Команда. kinit не должна выдавать никаких ошибок. Если всё ОК, то можно вздохнуть с облегчением: с 7. Установка модуля веб- сервера Apache. В Debian и Ubuntu.
RHEL/Fedora и большинстве других дистрибуивах — просто mod. От всех. остальных пользователей этот файл должен быть закрыт. Добавляем в конфигурацию Apache: < Location />. Auth. Type Kerberos.
Krb. 5Keytab /etc/krb. Krb. Service. Name HTTP/linuxbox. IPI. LOCAL. Require valid- user. Location> Здесь: Krb. Keytabпуть к ключу, созданному выше. Krb. Auth. Realmsсписок доменов (большими буквами, через пробел) для которых необходимо пробовать авторизацию.
Krb. Service. Nameимя принципала Kerberos, которое вы укзаали при создании ключа с помощью ktpass. Остальные параметры конфигурации mod. Если по каким- либо причинам этого не происходит, то необходимо у Apache включить уровень лога на уровень Debug и. Основными причинами могут быть (начиная с самых частых): Несоответствие адреса HTTP- сервера и имени принципала Kerberos.
То есть, если при создании ключа вы указали HTTP/linuxbox. IPI. LOCAL. то для того, чтобы браузер задействовал прозрачную аутентификацию, нужно заходить именно на URL http: //linuxbox. Использование IP- адреса сервера вместо DNS- имени.
По сути, проблема та же, что и в предыдущем пункте. Рассинхронизация даты и времени у серверов Linux и Windows. Системное время должно быть синхронизировано! Авторизация становится невозможной уже. Невозможность Apache получить доступ к keytab файлу или файлу /etc/krb.
Старая версия Kerberos. Автоматическая авторизация работает ТОЛЬКО на версиях 1. Посмотреть версию можно коммандой krb. Неправильный keytab.
Если вы в точности повторили все шаги указанные выше в руководстве создания keytab - то этой проблемы не должно быть. Отключенный механизм авторизации Negotiate у Internet Explorer. В таком случае в логе при уровне debug должно появляться сообщение о том что. NTLM, но kerberos не поддерживает NTLM! Возможно у Internet Explorer отключен Negotiate». Галочка находится в настройках.
Internet Explorer, в Advanced, секция Security, параметр “Enable Integrated Windows Authentication (Requires Restart)”.