Настройка AD- аутентификации в Apache под Linux и Free. BSDРаботу можно разбить на два этапа — установка и настройка Kerberos (низкоуровневая работа с ключами и авторизация в домене) и настройка модуля. Настройка Kerberos. Нам понадобятся только клиентские библиотеки и утлиты, серверная. MIT Kerberos не нужна, т. Нужно установить соответствующиt пакет, в.

Debian, Ubuntuapt- get install krb. RHEL, Fedorayum install krb. SLES, Open. SUSEzypper install krb. После установки пакета, необходимо настроить его для домена.

Параметры конфигурации Kerberos находятся в файле /etc/krb. Если этого не сделать, то по умолчанию для адреса abc. XYZ. RU. Файл /etc/krb. Далее нужно проверить, может ли эта конфигурация дать нам возможность работы в домене (если доступа с линукса до AD сервера прямого нет (например. AD - в офисной сети), то этот шаг можно пропустить, но без него ловить ошибки намного сложнее): $ kinit Administrator.

Password for Administrator@IPI. LOCAL. Ticket cache: FILE: /tmp/krb. При этом запрашивается. AD). Комманда klist показывает текущие действующие ключи авторизации. А kdestroy это некий.

Удалите её, и замените следующим: auth Настройка авторизации Linux-машин (Ubuntu) в Active Directory. Исторически сложилось, что у нас на факультете . Аутентификация клиентов Linux с помощью Active Directory. В файл /etc/pam.d/system-auth необходимо внести еще одно .

Если авторизация проходит нормально, и AD выдаёт нам ключ, можно приступать к следующему шагу. Создание ключа Kerberos для UNIX- машины. Открываем Administrative Tools - > Active Directory Users and. Computers - > Computers - > клик правой кнопкой - > New - > Computer. Вводим имя учётной записи — в нашем примере это будет linuxbox. Жмём Next, Next. Finish. В списке компьютеров должна появиться учётная запись linuxbox.

Теперь нам нужно создать ключ, который Apache на UNIX- машине будет использовать для аутентификации доменных пользователей. Ключ создаётся на. Фильм Законопослушный Гражданин Википедия тут.

Всем Привет! Нужно организовать авторизацию/аутентификацию пользователей на Linux-сервере с использованием данных, . Подготовка клиентской станции (подключение к домену AD), настройка и установка аутентификации и авторизации c помощью сервиса SSSD. Предоставить доступ к сервисам на Linux сервере.

Windows- машине с помощью утилиты ktpass. В Windows Server 2.

Microsoft Server Support. Tools, имеющегося на диске. Windows Server. В Windows Server 2.

Открываем окно командной строки (cmd. Для Windows Server 2. HTTP/linuxbox. ipi. IPI. LOCAL - mapuser linuxbox$@IPI. LOCAL - crypto RC4- HMAC- NT - ptype KRB5.

Вместо linuxbox. ipi. DNS- имя вашей UNIX- машины, на которой будет запущен IPI. Manager, а вместо IPI. LOCAL — ваш домен. Обратите внимание, после имени здесь добавляется знак $, чтобы команда ktpass. На вопрос «Reset LINUXBOX$’s password . После чего проверить его.

Шифрование тоже должно совпадать. Команда. kinit не должна выдавать никаких ошибок. Если всё ОК, то можно вздохнуть с облегчением: с 7. Установка модуля веб- сервера Apache. В Debian и Ubuntu.

RHEL/Fedora и большинстве других дистрибуивах — просто mod. От всех. остальных пользователей этот файл должен быть закрыт. Добавляем в конфигурацию Apache: < Location />. Auth. Type Kerberos.

Krb. 5Keytab /etc/krb. Krb. Service. Name HTTP/linuxbox. IPI. LOCAL. Require valid- user. Location> Здесь: Krb. Keytabпуть к ключу, созданному выше. Krb. Auth. Realmsсписок доменов (большими буквами, через пробел) для которых необходимо пробовать авторизацию.

Krb. Service. Nameимя принципала Kerberos, которое вы укзаали при создании ключа с помощью ktpass. Остальные параметры конфигурации mod. Если по каким- либо причинам этого не происходит, то необходимо у Apache включить уровень лога на уровень Debug и. Основными причинами могут быть (начиная с самых частых): Несоответствие адреса HTTP- сервера и имени принципала Kerberos.

То есть, если при создании ключа вы указали HTTP/linuxbox. IPI. LOCAL. то для того, чтобы браузер задействовал прозрачную аутентификацию, нужно заходить именно на URL http: //linuxbox. Использование IP- адреса сервера вместо DNS- имени.

По сути, проблема та же, что и в предыдущем пункте. Рассинхронизация даты и времени у серверов Linux и Windows. Системное время должно быть синхронизировано! Авторизация становится невозможной уже. Невозможность Apache получить доступ к keytab файлу или файлу /etc/krb.

Старая версия Kerberos. Автоматическая авторизация работает ТОЛЬКО на версиях 1. Посмотреть версию можно коммандой krb. Неправильный keytab.

Если вы в точности повторили все шаги указанные выше в руководстве создания keytab - то этой проблемы не должно быть. Отключенный механизм авторизации Negotiate у Internet Explorer. В таком случае в логе при уровне debug должно появляться сообщение о том что. NTLM, но kerberos не поддерживает NTLM! Возможно у Internet Explorer отключен Negotiate». Галочка находится в настройках.

Internet Explorer, в Advanced, секция Security, параметр “Enable Integrated Windows Authentication (Requires Restart)”.