活动目录环境下Apache单点登录(SSO)的实现
2011-02-25 11:55
295 查看
1、实验环境
公司部署有微软的活动目录,假设域名为wyd.com,一台Web服务器,运行在Red hat Enterpise Linux 5.5上,该网站原本只在内网访问,现由于业务的发展,需要发布到互联网上,以便销售人员和维护人员通过互联网随时能访问到,但由于该网站的内容涉及商业数据,不能让非公司人员随意访问到。
2、实验目的
为了保证数据的安全,需要在Apache上做身份验证,如果用传统的Apache的认证机制的话就会给用户带来麻烦,因为用户要输入额外的用户名和密码来登录网站。最理想的方式就是在公司内网里用户不用输入用户名和密码,可以直接登录;从互联网访问时,则需要输入用户名和密码,而这个账户密码就是登录公司域的账户名和密码
。
3、实现原理
用户登录活动目录时使用的是Kerberos协议,因此Apache的验证方式就使用Kerberos协议,用户登录活动目录后会获得一个Kerberos票据,这个Kerberos票据就可以用来登录Apache,如果用户不在公司内网里,在登录Apache时只需要输入活动目录的用户名和密码即可。
4、实现步骤
a. 安装Apache,PHP,mod_auth_kerb
PHP环境根据需要安装,mod_auth_kerb就是Apache的Kerberos认证模块,配置好YUM仓库后可以使用yum工具来安装,也可以直接使用rpm命令:
[root@test ~]#
yum install httpd php* mod_auth_kerb -y
b.配置Kerberos
使用vim编辑/etc/krb5.conf文件,该文件是参照example.com域来配置的,把example.com全部替换成自己的域名即可,注意Kerberos是区分大小写的,需要修改的内容如下:
[libdefaults]
default_realm = WYD.COM
[realms]
WYD.COM = {
kdc = dc1.wyd.com:88
default_domain = wyd.com
}
[domain_realm]
test.wyd.com = WYD.COM
wyd.com = WYD.COM
其中,test.wyd.com是Apache服务器的FQDN名,kdc的值要设置成域中的DC。
设置好Kerberos后,可以验证一下配置是否正确,使用kinit命令,参数为AD中的一个账户
[root@test ~]#kinit bob@WYD.COM
注意大小写,该命令会提示你输入密码,命令成功执行后不会有任何提示,可以使用klist命令查看获得的Kerberos票据
c.为test.wyd.com主机创建HTTP服务凭据
首先需要在AD中创建一个用来映射HTTP service的账户,此例中为apache。其次登录到DC中,使用命令行工具ktpass将apache账户映射到HTTP/test.wyd.com@WYD.COM
,并把凭据导出到一个keytab文件。(ktpass命令在support tools中,需要安装),命令如下:
C:/>ktpass -princ HTTP/test.wyd.com@WYD.COM
-mapuser apache -crypto rc4-hmac-nt -ptype KRB5_NT_SRV_HST -pass wyd -out c:/apache.keytab
命令成功执行后,将c:/apache.keytab文件拷贝到WEB服务器,确保apache进程对该文件有读权限。
d.配置httpd.conf使用mod_auth_kerb模块进行身份验证
alias /test /www/myweb
<Location /test>
AuthType Kerberos
AuthName "Kerberos Login"
KrbMethodNegotiate On
KrbMethodK5Passwd Off
KrbAuthRealms WYD.COM
Krb5KeyTab /etc/httpd/apache.keytab
KrbServiceName HTTP
require valid-user
</Location>
e.配置IE浏览器
IE浏览器默认已经支持“集成windows身份验证”,只需要把该网站加入到“本地Intranet”区域即可。注意访问时不能使用ip地址,必须使用前面ktpass命令中使用的FQDN名,此例为test.wyd.com
5、测试
到此,实验完成,域内用户访问不需要输入密码,不在域内或未登录域访问只需输入域账号密码即可。可以使用下面这段PHP代码测试:
<?php
echo "You have log in as ".$_SERVER['REMOTE_USER'];
?>
参考文档:http://www.grolmsnet.de/kerbtut/
公司部署有微软的活动目录,假设域名为wyd.com,一台Web服务器,运行在Red hat Enterpise Linux 5.5上,该网站原本只在内网访问,现由于业务的发展,需要发布到互联网上,以便销售人员和维护人员通过互联网随时能访问到,但由于该网站的内容涉及商业数据,不能让非公司人员随意访问到。
2、实验目的
为了保证数据的安全,需要在Apache上做身份验证,如果用传统的Apache的认证机制的话就会给用户带来麻烦,因为用户要输入额外的用户名和密码来登录网站。最理想的方式就是在公司内网里用户不用输入用户名和密码,可以直接登录;从互联网访问时,则需要输入用户名和密码,而这个账户密码就是登录公司域的账户名和密码
。
3、实现原理
用户登录活动目录时使用的是Kerberos协议,因此Apache的验证方式就使用Kerberos协议,用户登录活动目录后会获得一个Kerberos票据,这个Kerberos票据就可以用来登录Apache,如果用户不在公司内网里,在登录Apache时只需要输入活动目录的用户名和密码即可。
4、实现步骤
a. 安装Apache,PHP,mod_auth_kerb
PHP环境根据需要安装,mod_auth_kerb就是Apache的Kerberos认证模块,配置好YUM仓库后可以使用yum工具来安装,也可以直接使用rpm命令:
[root@test ~]#
yum install httpd php* mod_auth_kerb -y
b.配置Kerberos
使用vim编辑/etc/krb5.conf文件,该文件是参照example.com域来配置的,把example.com全部替换成自己的域名即可,注意Kerberos是区分大小写的,需要修改的内容如下:
[libdefaults]
default_realm = WYD.COM
[realms]
WYD.COM = {
kdc = dc1.wyd.com:88
default_domain = wyd.com
}
[domain_realm]
test.wyd.com = WYD.COM
wyd.com = WYD.COM
其中,test.wyd.com是Apache服务器的FQDN名,kdc的值要设置成域中的DC。
设置好Kerberos后,可以验证一下配置是否正确,使用kinit命令,参数为AD中的一个账户
[root@test ~]#kinit bob@WYD.COM
注意大小写,该命令会提示你输入密码,命令成功执行后不会有任何提示,可以使用klist命令查看获得的Kerberos票据
c.为test.wyd.com主机创建HTTP服务凭据
首先需要在AD中创建一个用来映射HTTP service的账户,此例中为apache。其次登录到DC中,使用命令行工具ktpass将apache账户映射到HTTP/test.wyd.com@WYD.COM
,并把凭据导出到一个keytab文件。(ktpass命令在support tools中,需要安装),命令如下:
C:/>ktpass -princ HTTP/test.wyd.com@WYD.COM
-mapuser apache -crypto rc4-hmac-nt -ptype KRB5_NT_SRV_HST -pass wyd -out c:/apache.keytab
命令成功执行后,将c:/apache.keytab文件拷贝到WEB服务器,确保apache进程对该文件有读权限。
d.配置httpd.conf使用mod_auth_kerb模块进行身份验证
alias /test /www/myweb
<Location /test>
AuthType Kerberos
AuthName "Kerberos Login"
KrbMethodNegotiate On
KrbMethodK5Passwd Off
KrbAuthRealms WYD.COM
Krb5KeyTab /etc/httpd/apache.keytab
KrbServiceName HTTP
require valid-user
</Location>
e.配置IE浏览器
IE浏览器默认已经支持“集成windows身份验证”,只需要把该网站加入到“本地Intranet”区域即可。注意访问时不能使用ip地址,必须使用前面ktpass命令中使用的FQDN名,此例为test.wyd.com
5、测试
到此,实验完成,域内用户访问不需要输入密码,不在域内或未登录域访问只需输入域账号密码即可。可以使用下面这段PHP代码测试:
<?php
echo "You have log in as ".$_SERVER['REMOTE_USER'];
?>
参考文档:http://www.grolmsnet.de/kerbtut/
相关文章推荐
- 活动目录环境下Apache单点登录(SSO)的实现
- Windows环境之apache使用.htaccess保护目录
- 在.Net环境下用C#操纵活动目录
- 更改apache环境下项目存放目录htdocs
- apache环境下禁止某文件夹内运行PHP脚本、禁止访问文件或目录执行权限的设置方法
- debian Squeeze配置apache php mysql环境,debian中apache目录结构
- mac下如何改变当前环境目录(程序实现)
- Apache下域名虚拟主机在个人主页目录上实现过程 推荐
- APACHE服务器AllowOverride设置实现制定账号访问网站目录
- 活动目录实战之二 安装企业中第二台域控制器(在同一局域网环境内)
- 【FTP】org.apache.commons.net.ftp.FTPClient实现复杂的上传下载,操作目录,处理编码
- 单点登录(SSO)的实现—通行证的基本原理
- 在PHP中利用LDAP通过活动目录(Active Directory)实现域用户登录验证的办法
- 配置SPN实现AD帐号委托(活动目录)
- WebSphere环境下的SSO(Single sign-on:单点登录、全网漫游)实现之: -- SSO实现技术准备
- 配置的好的Apache和PHP语言的环境下,如何在Apache目录下htdocs/html目录下 同时部署两个项目呢
- linux Apache下实现禁止URL浏览文件目录
- Windows下Apache应用环境塔建安全设置(目录权限设置)
- 用vhost.map 实现APACHE虚拟主机方式(win7环境下)
- apache防盗链实现和目录权限配置