Wechsel zur Kerberos-Authentifizierung mit Apache2 unter Ubuntu (LDAP oder AD)

Ich überlege, meine Intranet-Apps auf Kerberos-Authentifizierung umzustellen. (Derzeit wird NTLM verwendet, die erforderlichen Module werden jedoch nicht mehr verwaltet und funktionieren nicht mehr, sobald der Webserver auf die neueste Version (Ubuntu) aktualisiert wurde.)

Ich bin völlig neu in diesem Bereich und nicht direkt in der IT-Abteilung meines Unternehmens. Es ist ein riesiges Unternehmen und der Umgang mit IT ist eine PITA. Meine Frage dreht sich also auch darum, ob die IT etwas für mich tun muss, damit dies funktioniert.

Ich kann auf meinem Firmen-Laptop mit klist sehen, dass ich 3 Tickets habe:

krbtgt/[email protected]

ldap/[email protected]

und der letzte ist für meinen Laptop (zB Server = mein Laptop)

Ich habe auch bereits einen generischen LDAP-Benutzer für die Abfrage von LDAP für die Autorisierung.

Meine Frage ist, ob ich meinen Webserver so konfigurieren kann, dass das vorhandene ldap-Ticket zur Authentifizierung wiederverwendet wird. Und wenn ja wie würde ich das machen?

Sie können kein LDAP / ... -Ticket für die Authentifizierung in httpd freigeben. Sie können die Keytab-Datei auch auf demselben Host nicht freigeben, da sie Anmeldeinformationen für den HTTP / ... -Prinzipal bereitstellen muss. Es gibt eine Option in httpds mod_auth_kerb (mit dem Namen KrbServiceName ) zum "Umbenennen" des verwendeten Principals, aber ich habe es nicht versucht und ich bezweifle, dass es funktionieren kann, da die Clients versuchen werden, Standardnamen zu verwenden.

Es gibt viele Anleitungen zum Konfigurieren von Apache httpd mit AD + Kerberos-basiertem Single Sign-On. Beginnen Sie mit dem Lesen des Handbuchs mod_auth_kerb . Zu beachten sind: umgekehrte DNS-Einträge, die mit Forward-DNS übereinstimmen, Zeitsynchronisation, Standard-Realm-Name in der Datei /etc/krb5.conf, KVNO im Befehl ktpass . Bei Problemen versuchen Sie (vorübergehend!) KrbVerifyKDC offUnd LogLevel debugin Apache Config.