活动目录环境下Apache单点登录(SSO)的实现

1、实验环境
         公司部署有微软的活动目录,假设域名为wyd.com,一台Web服务器,运行在Red hat  Enterpise Linux 5.5上,该网站原本只在内网访问,现由于业务的发展,需要发布到互联网上,以便销售人员和维护人员通过互联网随时能访问到,但由于该网站的内容涉及商业数据,不能让非公司人员随意访问到。
2、实验目的
        为了保证数据的安全,需要在Apache上做身份验证,如果用传统的Apache的认证机制的话就会给用户带来麻烦,因为用户要输入额外的用户名和密码来登录网站。最理想的方式就是在公司内网里用户不用输入用户名和密码,可以直接登录;从互联网访问时,则需要输入用户名和密码,而这个账户密码就是登录公司域的账户名和密码
3、实现原理
        用户登录活动目录时使用的是Kerberos协议,因此Apache的验证方式就使用Kerberos协议,用户登录活动目录后会获得一个Kerberos票据,这个Kerberos票据就可以用来登录Apache,如果用户不在公司内网里,在登录Apache时只需要输入活动目录的用户名和密码即可。
4、实现步骤
        a. 安装Apache,PHP,mod_auth_kerb
             PHP环境根据需要安装,mod_auth_kerb就是Apache的Kerberos认证模块,配置好YUM仓库后可以使用yum工具来安装,也可以直接使用rpm命令:
           [root@test ~]# yum    install    httpd    php*   mod_auth_kerb   -y
        b.配置Kerberos
            使用vim编辑/etc/krb5.conf文件,该文件是参照example.com域来配置的,把example.com全部替换成自己的域名即可,注意Kerberos是区分大小写的,需要修改的内容如下:
            
[libdefaults]
                   default_realm = WYD.COM
             [realms]
             WYD.COM = {
                    kdc = dc1.wyd.com:88
                   default_domain = wyd.com
             }
             [domain_realm]
                    test.wyd.com = WYD.COM
                    wyd.com = WYD.COM

       其中,test.wyd.com是Apache服务器的FQDN名,kdc的值要设置成域中的DC。
             设置好Kerberos后,可以验证一下配置是否正确,使用kinit命令,参数为AD中的一个账户
             [root@test ~]#kinit   [email protected]
       注意大小写,该命令会提示你输入密码,命令成功执行后不会有任何提示,可以使用klist命令查看获得的Kerberos票据
        c.为test.wyd.com主机创建HTTP服务凭据
            首先需要在AD中创建一个用来映射HTTP service的账户,此例中为apache。其次登录到DC中,使用命令行工具ktpass将apache账户映射到HTTP/[email protected] ,并把凭据导出到一个keytab文件。(ktpass命令在support tools中,需要安装),命令如下:
            C:/>ktpass  -princ HTTP/[email protected]    -mapuser apache   -crypto rc4-hmac-nt   -ptype KRB5_NT_SRV_HST  -pass  wyd   -out c:/apache.keytab
           命令成功执行后,将c:/apache.keytab文件拷贝到WEB服务器,确保apache进程对该文件有读权限。
         d.配置httpd.conf使用mod_auth_kerb模块进行身份验证
                     alias /test     /www/myweb
                   
                         AuthType Kerberos
                         AuthName "Kerberos Login"
                         KrbMethodNegotiate On
                         KrbMethodK5Passwd Off
                         KrbAuthRealms WYD.COM
                         Krb5KeyTab /etc/httpd/apache.keytab
                         KrbServiceName HTTP
                         require valid-user
                   

          e.配置IE浏览器
         IE浏览器默认已经支持“集成windows身份验证”,只需要把该网站加入到“本地Intranet”区域即可。注意访问时不能使用ip地址,必须使用前面ktpass命令中使用的FQDN名,此例为test.wyd.com
5、测试
        到此,实验完成,域内用户访问不需要输入密码,不在域内或未登录域访问只需输入域账号密码即可。可以使用下面这段PHP代码测试:
                 echo "You have log in as ".$_SERVER['REMOTE_USER'];
       ?>

参考文档:http://www.grolmsnet.de/kerbtut/

你可能感兴趣的:(Linux)