在Ubuntu下配置Apache基于AD的Kerberos验证

余额不足 2011-01-26

在Ubuntu下配置Apache基于AD的Kerberos验证前段时间因为项目需要在Ubuntu+Apache的环境下配置了基本Active Directory的Kerberos验证, 主要为了实现WEB应用基于AD的单点登陆SSO(即SingleSignOn).

下面将配置过程做简单记录:

0.先说一下我的环境

Ubuntu9.04 + Apache2.2x + Win2k8 & AD

1.    因为Apache本身是不支持Kerberos的, 所以我们第一步是安装Kerberos Module for Apache即Mod_auth_kerb , 关于这个mod的文档资料和下载可以在官网找到. 在Ubuntu下不需要编译安装, 执行下面的apt-get搞定mod的安装. 安装后Apache的配置中会自动加载mod_auth_kerb.so, 不需要手工修改配置文件.

LINUX
# sudo apt-get install libapache2-mod-auth-kerb

2. 装好Mod_auth_kerb后, 我们来对Kerberos进行配置, 编辑/etc/krb5.conf, 这里建议将原配置文件备份(cp /etc/krb5.conf /etc/krb5_bak.conf), 然后清空原配置文件内容, 贴入如下配置信息并按实际需求进行相应修改(default_realm, kdc, example.com).

CONF
[libdefaults]
 ticket_lifetime = 24000
 default_realm = EXAMPLE.COM
 dns_lookup_realm = false
 dns_lookup_kdc = false
 
[realms]
 EXAMPLE.COM = {
  kdc = dc-01.example.com:88
  kdc = dc-02.example.com:88
 }
 
[domain_realm]
 .example.com = EXAMPLE.COM
 example.com = EXAMPLE.COM
 
[appdefaults]
 pam = {
   debug = false
   ticket_lifetime = 36000
   renew_lifetime = 36000
   forwardable = true
   krb4_convert = false
 }

3. 修改好配置文件后, 我们先来对Kerberos进行一个测试, 验证一下配置是否正确.命令行下执行kinit , 按提示输入AD用户的密码. 再在命令行下执行klist命令, 如果出现如下提示, 表示Kerberos验证成功.

CONF
# kinit Username
Password for Username @ EXAMPLE.COM:
 
# klist
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: Username @ EXAMPLE.COM
 
Valid starting     Expires            Service principal
07/23/10 15:57:06  07/23/10 22:37:06  krbtgt/ EXAMPLE.COM @ EXAMPLE.COM

4. 在WinServer端生成.Keytab文件, 然后将生成的.keytab文件copy到ubuntu上.

CONF
C:\Program Files\Support Tools>ktpass -princ HTTP/apache.server.fqdn@ EXAMPLE.COM -mapuser apache_server -crypto DES-CBC-MD5 -ptype KRB5_NT_PRINCIPAL -mapop set +desonly -pass apache_password -out name.keytab

5. 接下来配置Apahe的http.conf, 使所有或全部的WEB应用通过Kerberos进行登陆验证. Location项即作用路径, 这里我用通配符设置了webroot/krb和webroot/test两个路径. Krb5Keytab项后添上一步生成的keytab文件的及存放路径. 具体如下

CONF
<Location ~ "/(krb|test)">
  AuthName "Kerberos Login"
  AuthType Kerberos
  Krb5Keytab /etc/auth_kerb.keytab
  KrbAuthRealm EXAMPLE.COM
  KrbMethodNegotiate off
  KrbSaveCredentials off
  KrbVerifyKDC off
  Require valid-user
</Location>

6. 重启Apahce

LINUX
# /etc/init.d/apache2 restart

7. 到这里配置过程就全部完成了, 下面我们可以测试一下. 在webroot/krb下建index.php, 写入如下内容.

PHP
<?php
  echo "<table border=\"1\">";
  foreach($_SERVER as $k=>$v){
      echo "<tr><td>".$k."</td><td>".$v."</td></tr>";
  }
  echo "</table>"
?>

浏览器上访问http://hostaddress/krb. 这时浏览器会弹出如下的登陆框, 用AD账号登陆试一下吧, 登陆成功的话页面上会显示$_SERVER信息, 并$_SERVER中会多出个[‘REMOTE_USER’]来.

整个配置过程算是比较顺利, 参考文档如下, 欢迎有兴趣的朋友与我交流 [email protected]

http://sivel.net/2007/05/sso-apache-ad-1/

http://support.microsoft.com/kb/555092/en

http://stackoverflow.com/questions/389175/kerberos-authentification-in-php

http://modauthkerb.sourceforge.net/install.html

https://help.ubuntu.com/community/SingleSignOn

http://www.midgard-project.org/documentation/kerberos-single-sign-on-with-active-directory/

http://michele.pupazzo.org/diary/?p=460

< apache, Kerberos, SSO, ubuntu >
余额不足

余额不足

相关推荐

Win10累积更新下载 紧急修复Kerberos认证系统漏洞

Win10补丁KB4579311导致开机黑屏怎么办?Win10怎么下载KB4579311升级至19042.572预览版?

82216135 / 0评论 2020-11-19

如何在CDH 6.3.2 启用Kerberos 中 使用sentry限制 用户读写

mysql> grant all privileges on sentry.* to ‘sentry‘@‘%‘ identified by ‘sentry_1234‘ with grant option;完成以上配置后,回到Cloudera Mana

genshengxiao / 0评论 2020-06-04

HBase Thrift with Python (Kerberos)

本文内容是基于 Centos 7、HDP 3.0.0、HBase 2.0.0、Python 2.7 环境下,其他环境的童鞋选择性进行参考。yum install -y automake libtool flex bison pkgconfig gcc-c+

lvwenyuan / 0评论 2019-11-18

kerberos认证+impala-jdbc驱动+连接池,集成到spring框架

  对于hive-jdbc驱动,kerberos认证的代码块与Connection实例化的代码块,耦合性不强,保证执行的时序性即可。而kerberos认证代码块是对Connection创建这一过程本身进行包裹。  考虑到上述情况,如何打开连接池类的封装,对

zhangyayun0 / 0评论 2019-11-16

Kerberos认证解析

Kerberos 是一种网络认证协议,其设计目标是通过密钥系统为客户机、服务器应用程序提供强大的认证服务。Kerberos 作为一种可信任的第三方认证服务,是通过传统的密码技术执行认证服务的。Kerberos也能达到单点登录的效果,即当Client通过了K

AndrewYuan / 0评论 2019-11-09

spark集成kerberos

# kadmin.local -q “xst -norankey -k /etc/spark.keytab spark/yjt”

Notzuonotdied / 0评论 2019-10-31

Kerberos之后 storm UI

找到:network.negotiate-auth.trusted-uris 修改值,写入要访问的连接地址,协议+域名例如我的http://master

芒果先生Mango / 0评论 2018-05-31

hdfs,hive,hbase,与kerberos的java操作

import java.net.URI;public static void main(String[] args) throws IOException {. Configuration conf = new Configuration();URI ur

xiyf0 / 0评论 2018-05-30

2019最新 Kerberos 联调环境 Linux 安装配置

为了测试,我用的是192.168.126.144 duanduan.iteye.com duanduan. 需要自己添加一行 ,如上图。输入的密码要记住,后续有用!完成密码输入后,输入exit 退出命令行。service krb5kdc start/sto

Wenjing / 0评论 2019-04-11

2019最新 Kerberos 联调环境 Linux 安装配置

为了测试,我用的是192.168.126.144 duanduan.iteye.com duanduan. 需要自己添加一行 ,如上图。输入的密码要记住,后续有用!完成密码输入后,输入exit 退出命令行。service krb5kdc start/sto

SIstvan / 0评论 2019-04-11

Centos中_Kerberos安装和配置_Kerberos配置大全

Centos中_Kerberos安装和配置_Kerberos配置大全。安装必须的工具 bison, make, binutils. 下载压缩包至/usr/local目录下,并解压。b、在krb5.conf文件制定位置,创建kdc.conf

88264755 / 0评论 2016-07-06

java程序中获取kerberos登陆hadoop

但是这种方式一个明显的问题就是如果在本次shell中会间隔调用不同的java程序,而这些程序需要访问不同权限的问题,需要在访问前调用各自的ktab文件获得授权。这中场景下情况会变得非常复杂,这时如果把kbs认证的过程移到java程序中就会简单很多,每个ja

Aleks / 0评论 2019-06-29

开源大数据平台如何才能保证身份认证安全?

在古希腊神话中,Kerberos是住在冥河岸边的三头犬,负责看守冥界的入口。而在信息技术界,Kerberos是一种被广泛采用的网络认证协议,通过对称加密的技术,保护网络系统的安全。特别是在Hadoop开源大数据平台,Kerberos是唯一内置支持的安全的用

大数据实战派 / 0评论 2019-06-29

hadoop kerberos操作

User xxxx not found解决方案因为在hadoop集群中没有创建xxx用户

forjustice / 0评论 2019-06-29

Hadoop配置LDAP集成Kerberos

关于 Kerberos 的安装和 HDFS 配置 kerberos 认证,请参考 HDFS配置kerberos认证。参考 使用yum安装CDH Hadoop集群 安装 hadoop 集群,集群包括三个节点,每个节点的ip、主机名和部署的组件分配如下:。19

forjustice / 0评论 2019-06-20

RHCE 系列(七):在 Linux 客户端配置基于 Kerberos 身份验证的

在本系列的前一篇文章,我们回顾了如何在可能包括多种类型操作系统的网络上配置 Samba 共享。现在,如果你需要为一组类 Unix 客户端配置文件共享,很自然的你会想到网络文件系统,或简称 NFS。在这篇文章中我们会介绍配置基于 Kerberos 身份验证的

sinceNow / 0评论 2015-11-17

Linux基础教程学习笔记23——LDAP和Kerberos

[root@linuxidc tmp]# yum install ipa-server\* bind.x86_64 bind-dyndb-ldap.x86_64 bind-libs.i686 bind-libs-lite.i686 -y. 在服务器端进行交

sinlff / 0评论 2015-03-26

Apache Hadoop配置Kerberos指南

通常,一个Hadoop集群的安全使用kerberos来进行保障。在启用Kerberos后,需要用户进行身份验证。用户通过验证后可以使用GRANT/REVOKE语句来进行基于角色的访问控制。本文介绍一下在CDH集群中如何配置kerberos。# 使用root

好女绪 / 0评论 2018-02-15

Ubuntu 14.04 - Kerberos LDAP配置

大多数情况下,我们不会光使用Kerberos;一旦用户被Kerberos认证,我们需要指出用户可以做什么。这将会是一些程序的工作比如:LDAP。幸运的是,MIT Kerberos可以被配置成使用一个LDAP目录作为主数据库。本节包括配置主从Kerberos

bglmmz / 0评论 2016-09-06

Ubuntu 14.04-Kerberos安装和配置

Kerberos是一种基于可信性的第三方的网络认证系统。其他两方为用户和用户希望对其进行身份验证的服务。并不是所有的服务和应用程序可以使用Kerberos,但是对于那些可以使用的,它使得网络环境更接近于一步到位,就是所谓的Single Sign On 。这

AndrewYuan / 0评论 2016-09-05

Hadoop2.7.3安全模式-hadoop kerberos官方配置详解

介绍这篇文档描述了如何为Hadoop在安全模式下配置认证。当Hadoop被配置运行在安全模式下时,每个Hadoop服务和每个用户都必须被Kerberos认证。主机查找可能都被配置在DNS或者/etc/hosts文件中。推荐你在尝试配置Hadoop安全模式前

网站安全专家 / 0评论 2016-09-05

MIT kerberos 5 空指针间接引用漏洞(CVE-2014-4344)

受影响系统:MIT Kerberos 5 1.6 - 1.12.1描述:--------------------------------------------------------------------------------CVE ID: CVE-

xiaozhuawangzi / 0评论 2014-08-11

在Hadoop集群部署Hbase并开启kerberos

集群现有环境:node*6;jdk1.7.0_55;已安装zookeeper、hdfs、yarn、historyserver和httpfs并已开启kerberos。

chenzhikaida / 0评论 2014-09-05

Hadoop Authentication

javax.sercurity.auth.Subject是一个不可继承的实体类,它表示单个实体的一组相关信息,与请求的来源相关。javax.security.auth.Principal是一个接口,表示带有不同类型凭证的标识,基本上来说,Principal

surpassli / 0评论 2014-08-09

Aix Telnet的基础配置

IBM的AIX,对于一些朋友来说并不是太熟悉。那么对于Aix Telnet的有关内容,我们就来详细的介绍一下。希望对大家能够有所帮助。学习在IBM AIX V6 上的日常网络服务中使用 Kerberos 身份验证票证,并了解 Kerberos 如何帮助避免

久醉绕心弦 / 0评论 2010-07-26

Oracle Sun Solaris Kerberos本地权限提升漏洞(CVE-2012-0100)

受影响系统:Oracle Sun Solaris 9 ExpressOracle Sun Solaris 11 ExpressOracle Sun Solaris 10 Express描述:---------------------------------

tongxinhaonan / 0评论 2012-01-30

Kerberos的黄金票据详解

0x01黄金票据的原理和条件黄金票据是伪造票据授予票据,也被称为认证票据。如下图所示,与域控制器没有AS-REQ或AS-REP通信。由于黄金票据是伪造的TGT,它作为TGS-REQ的一部分被发送到域控制器以获得服务票据。Kerberos黄金票据是有效的TG

珠宝的故事 / 0评论 2017-12-27