1、实验环境
公司部署有微软的活动目录,假设域名为wyd.com,一台Web服务器,运行在Red hat Enterpise Linux 5.5上,该网站原本只在内网访问,现由于业务的发展,需要发布到互联网上,以便销售人员和维护人员通过互联网随时能访问到,但由于该网站的内容涉及商业数据,不能让非公司人员随意访问到。
2、实验目的
为了保证数据的安全,需要在Apache上做身份验证,如果用传统的Apache的认证机制的话就会给用户带来麻烦,因为用户要输入额外的用户名和密码来登录网站。最理想的方式就是在公司内网里用户不用输入用户名和密码,可以直接登录;从互联网访问时,则需要输入用户名和密码,而这个账户密码就是登录公司域的账户名和密码。
3、实现原理
用户登录活动目录时使用的是Kerberos协议,因此Apache的验证方式就使用Kerberos协议,用户登录活动目录后会获得一个Kerberos票据,这个Kerberos票据就可以用来登录Apache,如果用户不在公司内网里,在登录Apache时只需要输入活动目录的用户名和密码即可。
4、实现步骤
a. 安装Apache,PHP,mod_auth_kerb
PHP环境根据需要安装,mod_auth_kerb就是Apache的Kerberos认证模块,配置好YUM仓库后可以使用yum工具来安装,也可以直接使用rpm命令:
[root@test ~]#yum install httpd php* mod_auth_kerb -y
b.配置Kerberos
使用vim编辑/etc/krb5.conf文件,该文件是参照example.com域来配置的,把example.com全部替换成自己的域名即可,注意Kerberos是区分大小写的,需要修改的内容如下:
[libdefaults]
default_realm = WYD.COM
[realms]
WYD.COM = {
kdc = dc1.wyd.com:88
default_domain = wyd.com
}
[domain_realm]
test.wyd.com = WYD.COM
wyd.com = WYD.COM
其中,test.wyd.com是Apache服务器的FQDN名,kdc的值要设置成域中的DC。
设置好Kerberos后,可以验证一下配置是否正确,使用kinit命令,参数为AD中的一个账户
[root@test ~]#kinit [email protected]
注意大小写,该命令会提示你输入密码,命令成功执行后不会有任何提示,可以使用klist命令查看获得的Kerberos票据
c.为test.wyd.com主机创建HTTP服务凭据
首先需要在AD中创建一个用来映射HTTP service的账户,此例中为apache。其次登录到DC中,使用命令行工具ktpass将apache账户映射到HTTP/[email protected],并把凭据导出到一个keytab文件。(ktpass命令在support tools中,需要安装),命令如下:
C:\>ktpass -princ HTTP/[email protected] -mapuser apache -crypto rc4-hmac-nt -ptype KRB5_NT_SRV_HST -pass wyd -out c:\apache.keytab
命令成功执行后,将c:\apache.keytab文件拷贝到WEB服务器,确保apache进程对该文件有读权限。
d.配置httpd.conf使用mod_auth_kerb模块进行身份验证
alias /test /www/myweb
<Location /test>
AuthType Kerberos
AuthName "Kerberos Login"
KrbMethodNegotiate On
KrbMethodK5Passwd Off
KrbAuthRealms WYD.COM
Krb5KeyTab /etc/httpd/apache.keytab
KrbServiceName HTTP
require valid-user
</Location>
e.配置IE浏览器
IE浏览器默认已经支持“集成windows身份验证”,只需要把该网站加入到“本地Intranet”区域即可。注意访问时不能使用ip地址,必须使用前面ktpass命令中使用的FQDN名,此例为test.wyd.com
5、测试
到此,实验完成,域内用户访问不需要输入密码,不在域内或未登录域访问只需输入域账号密码即可。可以使用下面这段PHP代码测试:
<?php
echo "You have log in as ".$_SERVER['REMOTE_USER'];
?>
参考文档:http://www.grolmsnet.de/kerbtut/