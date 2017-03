Материал из ALT Linux Wiki

Текущая версия на 13:50, 7 марта 2017

Данная страница находится в разработке.

Эта страница ещё не закончена. Информация, представленная здесь, может оказаться неполной или неверной.

Исходные данные:

Домен ActiveDirectory DOMG.TESTG

Web-сервер apserver введенный в домен с помощью sssd

Задача:

Настроить аутентификацию Apache2 с PHP через AD

Для работы доменной аутентификации нам необходим keytab-файл, его можно сгенерировать на сервере домена или с помощью samba на машине с web-сервером.

Воспользуемся вторым вариантом.

Минимально необходимая конфигурация samba:

[global] workgroup = DOMG realm = DOMG.TESTG security = ads passdb backend = tdbsam kerberos method = system keytab

Проверим конфигурационный файл samba:

# testparm Load smb config files from /etc/samba/smb.conf Loaded services file OK. Server role: ROLE_DOMAIN_MEMBER Press enter to see a dump of your service definitions

Войдем в домен с помощью samba:

# net ads join -U Administrator

Проверим вход в домен:

# net ads testjoin Join is OK

Создадим и добавим в системный keytab принципала сервиса "HTTP":

# net ads keytab add HTTP -U Administrator

Проверим наш keytab:

# klist -ek /etc/krb5.keytab ... 3 HTTP/apserver.domg.testg@DOMG.TESTG (des-cbc-crc) 3 HTTP/APSERVER@DOMG.TESTG (des-cbc-crc) 3 HTTP/apserver.domg.testg@DOMG.TESTG (des-cbc-md5) 3 HTTP/APSERVER@DOMG.TESTG (des-cbc-md5) 3 HTTP/apserver.domg.testg@DOMG.TESTG (aes128-cts-hmac-sha1-96) 3 HTTP/APSERVER@DOMG.TESTG (aes128-cts-hmac-sha1-96) 3 HTTP/apserver.domg.testg@DOMG.TESTG (aes256-cts-hmac-sha1-96) 3 HTTP/APSERVER@DOMG.TESTG (aes256-cts-hmac-sha1-96) 3 HTTP/apserver.domg.testg@DOMG.TESTG (arcfour-hmac) 3 HTTP/APSERVER@DOMG.TESTG (arcfour-hmac) ...

Так же можно проверить получение билета kerberos для созданных принципалов сервиса:

# kinit Administrator # kvno HTTP/apserver.domg.testg@DOMG.TESTG HTTP/apserver@DOMG.TESTG HTTP/apserver.domg.testg@DOMG.TESTG: kvno = 3 HTTP/apserver@DOMG.TESTG: kvno = 3