Suchergebnisse :

×
Jetzt registrieren Kontakt

Inhalte

Einrichten von Kerberos/NTLM SSO mit Apache unter Windows

Schritt-für-Schritt-Anleitung zur Einrichtung Kerberos-Authentifizierung unter Windows mit Apache. Erfahren Sie, wie Sie Kerberos für eine sichere und nahtlose Benutzerauthentifizierung konfigurieren, einschließlich der Ersteinrichtung, Einstellungen, Browserkonfigurationen.

Mehr erfahren Tarifpläne

Mühelose LDAP/Active Directory-Integration für WordPress Video.

  • Öffnen Sie die Eingabeaufforderung in Administratormodus.
  • Führen Sie den folgenden Befehl aus, um hinzuzufügen Dienstprinzipalname (SPN) für das Dienstkonto.
    • Setspn -s http/<computer-name>.<domain-name> <domain-user-account>

    Ejemplo: C:\Benutzer\Administrator> setspn -S HTTP/Maschinenname.domain.com service_account


    LDAP-Anmeldung für Intranet-Sites - Kerberos SSO Single Sign-On

    Hinweis:„machinename.domain.com“ ist hier der Computername. Stellen Sie sicher, dass es auf dem Windows-Server auflösbar ist, auf dem der AD-Dienst ausgeführt wird.


  • Überprüfen Sie, ob dies richtig eingestellt wurde, indem Sie den folgenden Befehl ausführen:
    • setspn -l domain\service_account
  • Das Ergebnis sollte aufgelistet sein http/maschinenname.domain.com
  • Öffnen Sie Active Directory-Benutzer und -Computer und wählen Sie im oberen Menü die Option aus Ansicht >> Erweiterte Funktionen.
  • Öffnen Sie das Dienstkonto und gehen Sie zu Attributeditor Navigieren Sie zur Registerkarte „ servicePrincipalName um die zu überprüfen SPN-Eintrag.
  • Navigieren Sie zu der Delegation Tab.
  • Auswählen Vertrauen Sie diesem Benutzer für die Delegierung an einen beliebigen Dienst (nur Kerberos)..
Kerberos für die Windows-Authentifizierung auf dem IIS-Server

  • Klicke Tragen Sie.
  • Mehr Info um das Apache-Modul herunterzuladen.
  • Kopieren Sie die mod_authnz_sspi.so von Apache24 > Module Ordner und legen Sie es im Verzeichnis „modules“ (C:\xampp\apache\modules) ab.
  • Kopieren Sie die sspipkgs.exe Datei von Apache24 -> bin Ordner und platzieren Sie ihn im bin-Ordner Ihres Xampp-Apache-Ordners (.....\xampp\apache\bin) auf Ihrem Webserver.
  • Öffnen Sie httpd.conf (...\xampp\apache\conf) und platzieren Sie die folgende Codezeile im Abschnitt LoadModule.
    • LoadModule authnz_sspi_module modules/mod_authnz_sspi.so
  • Stellen Sie sicher, dass die folgenden Module unkommentiert sind:
    • LoadModule authn_core_module modules/mod_authn_core.so
    LoadModule authz_core_module modules/mod_authz_core.so
  • Stellen Sie auch sicher LDAP-Erweiterung aktivieren.
  • Öffnen Sie die Datei httpd.conf unter (....\xampp\apache\conf\httpd.conf).
    Gehen Sie zu und fügen Sie die folgenden Zeilen nach #Require all grants ein.
    • <Directory "...../xampp/htdocs">
    ......
    ......
    #Require all granted
    AllowOverride None Options None
    AuthType SSPI
    SSPIAuth On
    SSPIAuthoritative On
    Require valid-user
    </Directory>
  • Starten Sie neu Apache-Server.

LDAP-Anmeldung für Intranet-Sites - Kerberos SSO Single Sign-On

Hinweis: Die clientseitige Konfiguration ermöglicht es dem jeweiligen Browser, SPNEGO zu verwenden, um die Kerberos-Authentifizierung für den Browser auszuhandeln. Sie müssen sicherstellen, dass der Browser auf dem System eines Endbenutzers für die Unterstützung der Kerberos-Authentifizierung konfiguriert ist.

Allgemeine Kerberos SSO-Konfiguration für alle Browser:

  • Gehen Sie zur Systemsteuerung und klicken Sie auf Netzwerk und Internet >> Internetoptionen.
  • Dadurch wird ein Internet-Eigenschaftenfenster geöffnet. Klicke auf Sicherheit >> Lokales Intranet >> Sites.
Konfigurieren Sie Browser für die Kerberos-Authentifizierung mit Internetoptionen
  • Danach klicken Sie auf die Schaltfläche Erweiterte Schaltfläche.
Konfigurieren Sie erweiterte Einstellungen über die Internetoptionen für Kerberos SSO in Chrome und Internet Explorer
  • Im Fügen Sie diese Website zur Zone hinzu Fügen Sie im Abschnitt die Website-URL hinzu, auf der Sie sich mit SSO anmelden möchten.
Konfigurieren Sie die Website in der Intranetzone über die Internetoptionen für Kerberos SSO
  • Klicke Extras > Internetoptionen > Sicherheit > Lokales Intranet > Stufe anpassen.
  • Scrollen Sie nach unten zu den Benutzerauthentifizierungsoptionen und wählen Sie aus Automatische Anmeldung nur in der Intranet-Zone.
Automatische Anmeldung an der Intranetzone mithilfe des Kerberos-Authentifizierungsprotokolls
  • Klicken Sie auf Ok Klicken Sie auf die Schaltfläche und starten Sie dann Ihren Browser neu.

Sobald Sie mit den oben genannten Einstellungen fertig sind, müssen Sie die Browsereinstellungen für Internet Explorer, Google Chrome und Apple Safari nicht mehr konfigurieren.

Internet Explorer:

Standardmäßig gelten die allgemeinen Browserkonfigurationseinstellungen. Für den Internet Explorer sind keine weiteren zusätzlichen Einstellungen erforderlich.

Google Chrome:

Standardmäßig gelten die allgemeinen Browser-Konfigurationseinstellungen, für Google Chrome sind keine weiteren zusätzlichen Einstellungen erforderlich.

Mozilla Firefox:

  • Öffnen Sie den Mozilla Firefox-Browser und geben Sie ein about: config in der Adressleiste.
  • Suchen Sie nach network.negotiate-auth.trusted-uris Wählen Sie den Präferenznamen aus und klicken Sie auf Bearbeiten. Geben Sie den Hostnamen oder die Domäne des Webservers ein, der durch Kerberos HTTP SPNEGO geschützt ist. Geben Sie mehrere Domänen und Hostnamen durch Komma getrennt an.
Konfigurieren Sie Mozilla Firefox für Kerberos SSO (Single Sign-On).
  • Suchen Sie nach network.automatic-ntlm-auth.trusted-uris Geben Sie den Präferenznamen ein und klicken Sie auf Bearbeiten. Geben Sie den Hostnamen oder die Domäne des Webservers ein, der durch Kerberos HTTP SPNEGO geschützt ist. Geben Sie mehrere Domänen und Hostnamen durch Komma getrennt an.
Konfigurieren Sie die Mozilla Firefox-Einstellungen für die Kerberos-Authentifizierung

  • Klicke OK und starten Sie dann Ihren Browser neu.

Apple Safari:

Safari unter Windows unterstützt SPNEGO ohne weitere Konfiguration. Es unterstützt sowohl Kerberos als auch NTLM als Submechanismus von SPENGO.

Weitere FAQs ➔

Ja, Sie können einen vorhandenen LDAP-Benutzer als Kerberos-Dienstprinzipal verwenden. Für diesen Benutzer muss jedoch ein Kennwort festgelegt sein, das niemals abläuft. Bitte stellen Sie sicher, dass dieses Konto von keinem Benutzer verwendet wird, da die Anwendung dieses Konto als Kerberos-Dienstprinzipal und die entsprechende Schlüsseltabelle verwendet, um ein Kerberos-Ticket zu erhalten.

Die gesamte Authentifizierung in Kerberos erfolgt zwischen Clients und Servern. Daher wird jede Entität, die ein Serviceticket für einen Kerberos-Dienst erhält, in der Kerberos-Terminologie als „Kerberos-Client“ bezeichnet. Benutzer werden oft als Kunden betrachtet, aber jeder Prinzipal könnte einer sein.
Das Key Distribution Center, kurz KDC, wird üblicherweise als „Kerberos-Server“ bezeichnet. Sowohl der Authentication Service (AS) als auch der Ticket Granting Service (TGS) werden vom KDC implementiert. Jedes mit jedem Prinzipal verbundene Passwort wird im KDC gespeichert. Aus diesem Grund ist es wichtig, dass das KDC so sicher wie möglich ist.
Der Begriff „Anwendungsserver“ bezieht sich häufig auf kerberisierte Software, die Clients zur Interaktion bei der Authentifizierung mithilfe von Kerberos-Tickets verwenden. Ein Beispiel für einen Anwendungsserver ist der Kerberos-Telnet-Daemon.

Dies geschieht, wenn das NTLM-Protokoll anstelle von Kerberos für die Authentifizierung verwendet wird.
Dies kann mehrere Gründe haben:

  • Überprüfen Sie, ob Sie für den Zugriff auf die Website einen Domänencomputer verwenden.
  • Stellen Sie sicher, dass die Uhrzeit zwischen dem LDAP-Server und dem Webserver synchronisiert ist.
  • Überprüfen Sie, ob Ihre Browsereinstellungen und Internetoptionen für Kerberos SSO konfiguriert sind.
  • Wenn Sie immer noch mit diesem Problem konfrontiert sind, können Sie uns gerne kontaktieren.



ADFS_sso ×
Hallo!

Brauchen Sie Hilfe? Wir sind hier!

Unterstützung