Schritte zum Einrichten von Kerberos unter UBUNTU/RHEL (CentOS)

Schritt 1: Installieren Sie die Kerberos-Clientbibliotheken auf dem Webserver

Aussichten für UBUNTU:

• Verwenden Sie den folgenden Befehl auf Ihrem Terminal, um die Kerberos-Clientbibliotheken zu installieren.
sudo apt-get install krb5-user
Aussichten für RHEL / CentOS:

• Verwenden Sie den folgenden Befehl auf Ihrem Terminal, um die Kerberos-Clientbibliotheken zu installieren.
yum install krb5-workstation krb5-libs krb5-auth-dialog

Schritt 2: Konfigurieren Sie die Active Directory-Domäne in der Kerberos-Konfigurationsdatei

Die folgenden Schritte werden verwendet, um die Active Directory-Domänen in der Kerberos-Konfigurationsdatei zu konfigurieren:

• Öffnen und bearbeiten Sie die Datei /etc/krb5.conf.
• Fügen Sie den folgenden Konfigurationsausschnitt zur Datei krb5.conf hinzu.
EXAMPLE.ORG= { kdc = <AD DOMAIN CONTROLLER IP/DNS> :88 }

Anmerkungen: Ersetzen Sie die IP/DNS des AD-DOMAIN-CONTROLLERS mit Ihrer IP/DNS-Adresse. Sicherstellen BEISPIEL.ORG sollte in Großbuchstaben geschrieben werden.

- Ersetze das BEISPIEL.ORG mit dem Active Directory-Domänennamen.

- Und stellen Sie sicher, dass der Port 88 auf dem AD-Domänencontroller von diesem Server aus zugänglich ist.

• Speichern Sie die Datei.

Schritt 3: Installieren Sie das auth_kerb-Modul für Apache

Aussichten für UBUNTU:
• Verwenden Sie den folgenden Befehl, um das auth_kerb-Modul für Apache zu installieren.
sudo apt-get install libapache2-mod-auth-kerb
• Sobald das Modul auth_kerb installiert ist, muss es mit dem folgenden Befehl aktiviert werden.
a2enmod auth_kerb
• Starten Sie Apache nach der Aktivierung neu, damit es wirksam wird.

Aussichten für RHEL / CentOS:
• Verwenden Sie den folgenden Befehl, um das auth_kerb-Modul für Apache zu installieren.
yum install mod_auth_kerb
• Starten Sie Apache neu, damit es wirksam wird.

Schritt 4: Erstellen Sie eine Keytab-Datei auf dem AD-Domänencontroller

• Führen Sie auf dem AD-Domänencontroller den folgenden Befehl aus, um die Keytab-Datei zu erstellen.
ktpass -princ HTTP/<Server Host Name>@EXAMPLE.ORG -pass PASSWORD
-mapuser <svc@EXAMPLE.ORG> -Ptype KRB5_NT_PRINCIPAL -out "<PATH>\spn.keytab"


Anmerkungen: Gewährleisten BEISPIEL.ORG sollte in Großbuchstaben geschrieben werden.

Im Folgenden sind die Komponenten des Befehls aufgeführt.

Server-Hostname:	Dies ist der Hostname der auf dem Server gehosteten Site.
Server-Hostname:	Dies ist der Hostname der auf dem Server gehosteten Site.
BEISPIEL.ORG:	Es handelt sich um den Active Directory-Domänennamen.
PASSWORT:	Es handelt sich um das Passwort des oben verwendeten Dienstkontos.
svc@EXAMPLE.ORG:	Es handelt sich um ein Dienstkonto im Active Directory.
Pfad:	Pfad zu einem lokalen Speicherort, an dem die Keytab-Datei gespeichert wird.

Anmerkungen: Der obige Befehl erstellt eine Keytab-Datei. Es muss auf dem Server platziert werden. Der Benutzer, der Apache ausführt, sollte vollen Zugriff auf diese Datei haben. Der Benutzer sollte die Berechtigung für die Keytab-Datei haben.

• Für das Dienstkonto gelten einige Voraussetzungen:
• Für das Kontokennwort sollte ein Kennwort festgelegt sein Nicht abgelaufen.
• Dem Konto sollte für die Delegierung vertraut werden.
• Kopieren Sie die Keytab Datei vom AD-Domänencontroller auf den auf Apache gehosteten Webserver übertragen.

Schritt 5: Konfigurieren Sie Kerberos SSO für das Site-Verzeichnis

Aussichten für UBUNTU:


-Bearbeiten Sie die Datei /etc/apache2/sites-enabled/000-default.conf.

• Fügen Sie den folgenden Abschnitt im Verzeichnis der Site hinzu.
<Directory "/placeholder"> AuthType Kerberos KrbAuthRealms EXAMPLE.ORG KrbServiceName HTTP Krb5Keytab <PATH TO KEYTAB> KrbMethodNegotiate on KrbMethodK5Passwd on require valid-user </Directory>

Aussichten für RHEL / CentOS:


-Bearbeiten Sie die Konfigurationsdatei auth_kerb.conf im Ordner /etc/httpd/conf.d/.

• Fügen Sie den folgenden Abschnitt im Verzeichnis der Site hinzu.
LoadModule auth_kerb_module /usr/lib/apache2/modules/mod_auth_kerb.so <Directory "/placeholder"> AuthType Kerberos KrbAuthRealms EXAMPLE.ORG KrbServiceName HTTP Krb5Keytab <PATH TO KEYTAB> KrbMethodNegotiate on KrbMethodK5Passwd on require valid-user </Directory>

Anmerkungen: Gewährleisten BEISPIEL.ORG sollte in Großbuchstaben geschrieben werden.

Im Folgenden sind die Komponenten der obigen Konfiguration aufgeführt:

BEISPIEL.ORG:	Dies ist die Active Directory-Domäne, wie in krb5.conf konfiguriert.
PFAD ZUM KEYTAB:	Zugänglicher Pfad zum Keytab auf diesem Server.

• Nach dieser Konfiguration muss Apache neu gestartet werden, damit die Änderungen wirksam werden.

Problemlösung

gss_acquire_cred() fehlgeschlagen: Nicht spezifizierter GSS-Fehler. Der Nebencode liefert möglicherweise weitere Informationen (, Erlaubnis verweigert).

• Falsche Dateisystemberechtigungen für /etc/krb5.keytab, dh für den Linux-Benutzer des Webservers nicht lesbar.
• Um Dateisystemberechtigungen zu ändern, verwenden Sie $ chmod 400 Dateiname

gss_acquire_cred() fehlgeschlagen: Nicht spezifizierter GSS-Fehler. Der Nebencode liefert möglicherweise weitere Informationen (, Schlüsseltabelleneintrag nicht gefunden).

• Fehlender Dienstprinzipal (möglicherweise HTTP/webserver.yourdomain.com@YOURDOMAIN.COM) in /etc/krb5.keytab.

Warnung: Das empfangene Token scheint NTLM zu sein, was vom Kerberos-Modul nicht unterstützt wird. Überprüfen Sie Ihre IE-Konfiguration. gss_accept_sec_context() fehlgeschlagen: Ein nicht unterstützter Mechanismus wurde angefordert (, Unbekannter Fehler)

• Die Website befindet sich nicht in der Zone „Lokales Intranet“ im IE oder der IE ist falsch konfiguriert, siehe Authentifizierung. Verwendet NTLM anstelle von Kerberos.

gss_accept_sec_context() fehlgeschlagen: Nicht spezifizierter GSS-Fehler. Nebencode kann weitere Informationen liefern (, ).

• Falsches KVNO- oder Maschinenkennwort in /etc/krb5.keytab → Erstellen Sie die Schlüsseltabelle mit den richtigen Informationen neu.
• Problem mit dem lokalen Kerberos-Ticket-Cache auf Ihrer Workstation. Verwenden Sie Kerbtray.exe, um den Ticket-Cache zu leeren und die Website erneut im IE zu öffnen.