Pasos para configurar Kerberos en UBUNTU/RHEL (CentOS)

Paso 1: Instale las bibliotecas cliente de Kerberos en el servidor web

UBUNTU:

• Utilice el siguiente comando en su terminal para instalar las bibliotecas del cliente Kerberos.
sudo apt-get install krb5-user
RHEL / CentOS:

• Utilice el siguiente comando en su terminal para instalar las bibliotecas del cliente Kerberos.
yum install krb5-workstation krb5-libs krb5-auth-dialog

Paso 2: configurar el dominio de Active Directory en el archivo de configuración de Kerberos

Los siguientes pasos se utilizan para configurar los dominios de Active Directory en el archivo de configuración de Kerberos:

• Abra y edite el archivo /etc/krb5.conf.
• Agregue el siguiente fragmento de configuración al archivo krb5.conf.
EXAMPLE.ORG= { kdc = <AD DOMAIN CONTROLLER IP/DNS> :88 }

NOTA: Vuelva a colocar la ANUNCIO CONTROLADOR DE DOMINIO IP/DNS con su dirección IP/DNS. Asegurar EJEMPLO.ORG debe estar en mayúsculas.

- Reemplace la EJEMPLO.ORG con el nombre de dominio de Active Directory.

- Y asegúrese de que se pueda acceder al puerto 88 en el controlador de dominio AD desde este servidor.

• Guarde el archivo.

Paso 3: instale el módulo auth_kerb para Apache

UBUNTU:
• Utilice el siguiente comando para instalar el módulo auth_kerb para Apache.
sudo apt-get install libapache2-mod-auth-kerb
• Una vez instalado el módulo auth_kerb, debe habilitarse mediante el siguiente comando.
a2enmod auth_kerb
• Después de habilitarlo, reinicie Apache para que surta efecto.

RHEL / CentOS:
• Utilice el siguiente comando para instalar el módulo auth_kerb para Apache.
yum install mod_auth_kerb
• Reinicie Apache para que surta efecto.

Paso 4: cree un archivo Keytab en el controlador de dominio AD

• En el controlador de dominio AD, ejecute el siguiente comando para crear el archivo Keytab.
ktpass -princ HTTP/<Server Host Name>@EXAMPLE.ORG -pass PASSWORD
-mapuser <svc@EXAMPLE.ORG> -Ptype KRB5_NT_PRINCIPAL -out "<PATH>\spn.keytab"


NOTA: Asegurar EJEMPLO.ORG debe estar en mayúsculas.

Los siguientes son los componentes del comando.

Nombre del host del servidor:	Es el nombre de host del sitio alojado en el servidor.
Nombre del host del servidor:	Es el nombre de host del sitio alojado en el servidor.
EJEMPLO.ORG:	Es el nombre de dominio de Active Directory.
CONTRASEÑA:	Es la contraseña de la cuenta de servicio utilizada anteriormente.
svc@EJEMPLO.ORG:	Es una cuenta de servicio en Active Directory.
ruta de acceso:	Ruta a una ubicación local que almacenará el archivo keytab.

NOTA: El comando anterior crea un archivo de tabla de claves. Debe colocarse en el servidor. El usuario que ejecuta Apache debe tener acceso completo a este archivo. El usuario debe tener permiso para acceder al archivo keytab.

• La cuenta de servicio tiene algunos requisitos previos:
• La contraseña de la cuenta debe tener una contraseña configurada en no caducado.
• Se debe confiar en la cuenta para la delegación.
• Copia el tabla de claves archivo desde el controlador de dominio AD al servidor web alojado en Apache.

Paso 5: Configurar Kerberos SSO para el directorio del sitio

UBUNTU:


-Edite el archivo /etc/apache2/sites-enabled/000-default.conf.

• Agregue la siguiente sección en el directorio del sitio.
<Directory "/placeholder"> AuthType Kerberos KrbAuthRealms EXAMPLE.ORG KrbServiceName HTTP Krb5Keytab <PATH TO KEYTAB> KrbMethodNegotiate on KrbMethodK5Passwd on require valid-user </Directory>

RHEL / CentOS:


-Edite el archivo de configuración auth_kerb.conf en la carpeta /etc/httpd/conf.d/.

• Agregue la siguiente sección en el directorio del sitio.
LoadModule auth_kerb_module /usr/lib/apache2/modules/mod_auth_kerb.so <Directory "/placeholder"> AuthType Kerberos KrbAuthRealms EXAMPLE.ORG KrbServiceName HTTP Krb5Keytab <PATH TO KEYTAB> KrbMethodNegotiate on KrbMethodK5Passwd on require valid-user </Directory>

NOTA: Asegurar EJEMPLO.ORG debe estar en mayúsculas.

Los siguientes son los componentes de la configuración anterior:

EJEMPLO.ORG:	Este es el dominio de Active Directory configurado en krb5.conf.
RUTA A LA TECLA:	Ruta accesible a la tabla de claves en este servidor.

• Después de esta configuración, es necesario reiniciar Apache para que los cambios surtan efecto.

Solucionando Problemas

Error de gss_acquire_cred(): error de GSS no especificado. El código menor puede proporcionar más información (permiso denegado).

• Permisos de sistema de archivos incorrectos para /etc/krb5.keytab, es decir, no legibles para el usuario de Linux del servidor web.
• Para cambiar los permisos del sistema de archivos, utilice $ chmod 400 nombre de archivo

Error de gss_acquire_cred(): error de GSS no especificado. El código menor puede proporcionar más información (no se encontró la entrada de la tabla clave).

• Falta la entidad de servicio (posiblemente HTTP/webserver.yourdomain.com@YOURDOMAIN.COM) en /etc/krb5.keytab.

Advertencia: El token recibido parece ser NTLM, que no es compatible con el módulo Kerberos. Verifique su configuración de IE. gss_accept_sec_context() falló: se solicitó un mecanismo no compatible (error desconocido)

• El sitio web no está en la zona "Intranet local" en IE o IE está configurado incorrectamente; consulte La autenticación utiliza NTLM en lugar de Kerberos.

Error de gss_accept_sec_context(): error de GSS no especificado. El código menor puede proporcionar más información (,).

• Kvno o contraseña de máquina incorrectos en /etc/krb5.keytab → vuelva a crear la tabla de claves utilizando la información correcta.
• Problema con la caché de tickets local de Kerberos en su estación de trabajo. Utilice Kerbtray.exe para purgar la caché de tickets y abrir el sitio web en IE nuevamente.