Suchergebnisse :

×
Treffen Sie uns unter WordCamp Europa | ShopTalk | DrupalCon Konferenzen zur Erkundung unserer Lösungen. Weitere Informationen

Richten Sie NTLM/Kerberos SSO Single Sign-On für UBUNTU/RHEL/CentOS ein

Die Kerberos-SSO-Erweiterung erleichtert den Erhalt eines Kerberos-Ticket-Granting-Tickets (TGT) aus dem Active Directory oder einer anderen Identitätsanbieterdomäne Ihres Unternehmens und ermöglicht Benutzern die Authentifizierung bei Ressourcen wie Websites, Anwendungen und Dateiservern.

Laden Sie das Plugin herunter

Holen Sie sich dieses Plugin
Joomla LDAP-Authentifizierungs-Plugin für Kerberos

Konfigurationsunterstützung und kostenlose Testversion

Wenn Sie Unterstützung bei der Konfiguration des Plugins oder der Integration wünschen Kerberos-LDAP mit Joomla, klicken Sie auf Kostenlose Konfigurationseinrichtung .

Wir bieten eine 7-tägige Testversion mit vollem Funktionsumfang an, in der Sie alle Funktionen des Plugins vollständig testen können. Klicken Sie auf Kostenlose Business-Testversion .

Kostenlose Konfigurationseinrichtung
Kostenlose Business-Testversion

Schritte zur Integration von Kerberos SSO LDAP für Single Sign-On (SSO)

    Installieren Sie Kerberos-Clientbibliotheken auf dem Webserver

    Aussichten für UBUNTU:
    • Verwenden Sie den folgenden Befehl auf Ihrem Terminal, um die Kerberos-Clientbibliotheken zu installieren.
      • sudo apt-get install krb5-user
    Aussichten für RHEL / CentOS:
    • Verwenden Sie den folgenden Befehl auf Ihrem Terminal, um die Kerberos-Clientbibliotheken zu installieren.
      • Lecker, installiere krb5-workstation, krb5-libs, krb5-auth-dialog

    Konfigurieren Sie die Active Directory-Domäne in der Kerberos-Konfigurationsdatei

    Die folgenden Schritte werden verwendet, um die Active Directory-Domänen in der Kerberos-Konfigurationsdatei zu konfigurieren:
    • Öffnen und bearbeiten Sie die Datei /etc/krb5.conf.
    • Fügen Sie den folgenden Konfigurationsausschnitt zur Datei krb5.conf hinzu.
        • EXAMPLE.ORG= { kdc = :88 }

        Anmerkungen: Ersetzen Sie die IP/DNS des AD-DOMAIN-CONTROLLERS mit Ihrer IP/DNS-Adresse. Sicherstellen BEISPIEL.ORG sollte in Großbuchstaben geschrieben werden.

        - Ersetze das BEISPIEL.ORG mit dem Active Directory-Domänennamen.

        - Und stellen Sie sicher, dass der Port 88 auf dem AD-Domänencontroller von diesem Server aus zugänglich ist.

    • Speichern Sie die Datei.

    Installieren Sie das auth_kerb-Modul für Apache

    Aussichten für UBUNTU:
    • Verwenden Sie den folgenden Befehl, um das auth_kerb-Modul für Apache zu installieren.
      • sudo apt-get install libapache2-mod-auth-kerb
    • Sobald das Modul auth_kerb installiert ist, muss es mit dem folgenden Befehl aktiviert werden.
      • a2enmod auth_kerb
    • Starten Sie Apache nach der Aktivierung neu, damit es wirksam wird.

    Aussichten für RHEL / CentOS:
    • Verwenden Sie den folgenden Befehl, um das auth_kerb-Modul für Apache zu installieren.
      • Lecker, installiere mod_auth_kerb
    • Starten Sie Apache neu, damit es wirksam wird.

    Erstellen Sie eine Keytab-Datei auf dem AD-Domänencontroller

    • Führen Sie auf dem AD-Domänencontroller den folgenden Befehl aus, um die Keytab-Datei zu erstellen.
      • ktpass -princ HTTP/ @EXAMPLE.ORG - PASSWORT übergeben
      -mapuser -Ptype KRB5_NT_PRINCIPAL -out " \spn.keytab"

      Anmerkungen: Gewährleisten BEISPIEL.ORG sollte in Großbuchstaben geschrieben werden.

      Im Folgenden sind die Komponenten des Befehls aufgeführt.

      Server-Hostname: Dies ist der Hostname der auf dem Server gehosteten Site.
      Server-Hostname: Dies ist der Hostname der auf dem Server gehosteten Site.
      BEISPIEL.ORG: Es handelt sich um den Active Directory-Domänennamen.
      PASSWORT: Es handelt sich um das Passwort des oben verwendeten Dienstkontos.
      svc@EXAMPLE.ORG: Es handelt sich um ein Dienstkonto im Active Directory.
      Pfad: Pfad zu einem lokalen Speicherort, an dem die Keytab-Datei gespeichert wird.
    Anmerkungen: Der obige Befehl erstellt eine Keytab-Datei. Es muss auf dem Server platziert werden. Der Benutzer, der Apache ausführt, sollte vollen Zugriff auf diese Datei haben. Der Benutzer sollte die Berechtigung für die Keytab-Datei haben.
  • Für das Dienstkonto gelten einige Voraussetzungen:
    • Für das Kontokennwort sollte ein Kennwort festgelegt sein Nicht abgelaufen.
    • Dem Konto sollte für die Delegierung vertraut werden.
  • Kopieren Sie die Keytab Datei vom AD-Domänencontroller auf den auf Apache gehosteten Webserver übertragen.

Konfigurieren Sie Kerberos SSO für das Site-Verzeichnis

    Aussichten für UBUNTU:

      -Bearbeiten Sie die Datei /etc/apache2/sites-enabled/000-default.conf.

    • Fügen Sie den folgenden Abschnitt im Verzeichnis der Site hinzu.
        • AuthType Kerberos KrbAuthRealms EXAMPLE.ORG KrbServiceName HTTP Krb5Keytab KrbMethodNegotiate für KrbMethodK5Passwd erfordert einen gültigen Benutzer
    Aussichten für RHEL / CentOS:

      -Bearbeiten Sie die Konfigurationsdatei auth_kerb.conf im Ordner /etc/httpd/conf.d/.

    • Fügen Sie den folgenden Abschnitt im Verzeichnis der Site hinzu.
        • LoadModule auth_kerb_module /usr/lib/apache2/modules/mod_auth_kerb.so AuthType Kerberos KrbAuthRealms EXAMPLE.ORG KrbServiceName HTTP Krb5Keytab KrbMethodNegotiate für KrbMethodK5Passwd erfordert einen gültigen Benutzer

      Anmerkungen: Gewährleisten BEISPIEL.ORG sollte in Großbuchstaben geschrieben werden.

      Im Folgenden sind die Komponenten der obigen Konfiguration aufgeführt:

        BEISPIEL.ORG: Dies ist die Active Directory-Domäne, wie in krb5.conf konfiguriert.
        PFAD ZUM KEYTAB: Zugänglicher Pfad zum Keytab auf diesem Server.
    • Nach dieser Konfiguration muss Apache neu gestartet werden, damit die Änderungen wirksam werden.

Problemlösung

Dies sind die häufigsten Fehlermeldungen: 
    gss_acquire_cred() fehlgeschlagen: Nicht spezifizierter GSS-Fehler. Der Nebencode liefert möglicherweise weitere Informationen (, Erlaubnis verweigert).
  • Falsche Dateisystemberechtigungen für /etc/krb5.keytab, dh für den Linux-Benutzer des Webservers nicht lesbar.
  • Um Dateisystemberechtigungen zu ändern, verwenden Sie $ chmod 400 Dateiname
    • gss_acquire_cred() fehlgeschlagen: Nicht spezifizierter GSS-Fehler. Der Nebencode liefert möglicherweise weitere Informationen (, Schlüsseltabelleneintrag nicht gefunden).
  • Fehlender Dienstprinzipal (möglicherweise HTTP/webserver.yourdomain.com@YOURDOMAIN.COM) in /etc/krb5.keytab.
    • Warnung: Das empfangene Token scheint NTLM zu sein, was vom Kerberos-Modul nicht unterstützt wird. Überprüfen Sie Ihre IE-Konfiguration. gss_accept_sec_context() fehlgeschlagen: Ein nicht unterstützter Mechanismus wurde angefordert (, Unbekannter Fehler)
  • Die Website befindet sich nicht in der Zone „Lokales Intranet“ im IE oder der IE ist falsch konfiguriert, siehe Authentifizierung. Verwendet NTLM anstelle von Kerberos.
    • gss_accept_sec_context() fehlgeschlagen: Nicht spezifizierter GSS-Fehler. Nebencode kann weitere Informationen liefern (, ).
  • Falsches KVNO- oder Maschinenkennwort in /etc/krb5.keytab → Erstellen Sie die Schlüsseltabelle mit den richtigen Informationen neu.
  • Problem mit dem lokalen Kerberos-Ticket-Cache auf Ihrer Workstation. Verwenden Sie Kerbtray.exe, um den Ticket-Cache zu leeren und die Website erneut im IE zu öffnen.

Zusätzliche Ressourcen.

Geschäftsprozess

Wenn Sie eine KOSTENLOSE Business-Testversion wünschen Mehr Info

Wenn Sie nicht finden, was Sie suchen, kontaktieren Sie uns bitte unter joomlasupport@xecurify.com oder rufen Sie uns an +1 978 658 9387.

Angesagte Suchanfragen:
Hallo!

Brauchen Sie Hilfe? Wir sind hier!
Support
Kontaktieren Sie den miniOrange-Support
Erfolg

Vielen Dank für Ihre Anfrage.

Wenn Sie innerhalb von 24 Stunden nichts von uns hören, können Sie gerne eine Folge-E-Mail an senden info@xecurify.com