Résultats de recherche :

×
Retrouvez-nous au Camp de mots européen | Parlons-boutique | DrupalCon Des conférences pour explorer nos solutions. En savoir plus

Configurer l'authentification unique NTLM / Kerberos SSO pour UBUNTU / RHEL / CentOS

L'extension Kerberos SSO facilite l'obtention d'un ticket d'octroi de tickets (TGT) Kerberos à partir de l'Active Directory de votre organisation ou d'un autre domaine de fournisseur d'identité, permettant aux utilisateurs de s'authentifier auprès de ressources telles que des sites Web, des applications et des serveurs de fichiers.

Téléchargez le plugin

Obtenir ce plug-in
Plugin d'authentification Joomla LDAP pour Kerberos

Assistance à la configuration et essai gratuit

Si vous souhaitez un accompagnement pour configurer le plugin, ou pour intégrer KerberosLDAP avec Joomla, cliquez sur Configuration gratuite .

Nous proposons un essai complet de 7 jours dans lequel vous pouvez tester entièrement toutes les fonctionnalités du plugin, cliquez sur Essai professionnel gratuit .

Configuration gratuite
Essai professionnel gratuit

Étapes pour intégrer Kerberos SSO LDAP pour l'authentification unique (SSO)

    Installer les bibliothèques client Kerberos sur le serveur Web

    Pour UBUNTU:
    • Utilisez la commande suivante sur votre terminal pour installer les bibliothèques client Kerberos.
      • sudo apt-get install krb5-user
    Pour RHEL / CentOS:
    • Utilisez la commande suivante sur votre terminal pour installer les bibliothèques client Kerberos.
      • miam, installez krb5-workstation krb5-libs krb5-auth-dialog

    Configurez le domaine Active Directory dans le fichier de configuration Kerberos

    Les étapes suivantes sont utilisées pour configurer les domaines Active Directory dans le fichier de configuration Kerberos :
    • Ouvrez et modifiez le fichier /etc/krb5.conf.
    • Ajoutez l'extrait de configuration suivant au fichier krb5.conf.
        • EXEMPLE.ORG= { kdc = :88 }

        REMARQUE: Remplacez le CONTRÔLEUR DE DOMAINE AD IP/DNS avec votre adresse IP/DNS. Assurer EXEMPLE.ORG doit être en majuscule.

        - Remplace le EXEMPLE.ORG avec le nom de domaine Active Directory.

        - Et assurez-vous que le port 88 du contrôleur de domaine AD est accessible depuis ce serveur.

    • Enregistrez le fichier.

    Installez le module auth_kerb pour Apache

    Pour UBUNTU:
    • Utilisez la commande suivante pour installer le module auth_kerb pour Apache.
      • sudo apt-get install libapache2-mod-auth-kerb
    • Une fois le module auth_kerb installé, il doit être activé via la commande suivante.
      • a2enmod auth_kerb
    • Après avoir activé, redémarrez Apache pour prendre effet.

    Pour RHEL / CentOS:
    • Utilisez la commande suivante pour installer le module auth_kerb pour Apache.
      • miam, installez mod_auth_kerb
    • Redémarrez Apache pour prendre effet.

    Créer un fichier Keytab sur le contrôleur de domaine AD

    • Sur le contrôleur de domaine AD, exécutez la commande suivante pour créer le fichier Keytab.
      • ktpass -princ HTTP/ @EXAMPLE.ORG -pass MOT DE PASSE
      -utilisateurmap -Ptype KRB5_NT_PRINCIPAL -out " \spn.keytab"

      REMARQUE: Ensure EXEMPLE.ORG doit être en majuscule.

      Voici les composants de la commande.

      Nom d'hôte du serveur : Il s'agit du nom d'hôte du site hébergé sur le Serveur.
      Nom d'hôte du serveur : Il s'agit du nom d'hôte du site hébergé sur le Serveur.
      EXEMPLE.ORG : Il s'agit du nom de domaine Active Directory.
      MOT DE PASSE: Il s'agit du mot de passe du compte de service utilisé ci-dessus.
      svc@EXAMPLE.ORG : Il s'agit d'un compte de service dans Active Directory.
      Chemin: Chemin vers un emplacement local qui stockera le fichier keytab.
    REMARQUE: La commande ci-dessus crée un fichier keytab. Il doit être placé sur le serveur. L'utilisateur exécutant Apache doit avoir un accès complet à ce fichier. L'utilisateur doit avoir l'autorisation d'accéder au fichier keytab.
  • Le compte de service a quelques prérequis :
    • Le mot de passe du compte doit avoir un mot de passe défini sur Non expiré.
    • Le compte doit être approuvé pour la délégation.
  • Copiez le Onglet de touches fichier du contrôleur de domaine AD vers le serveur Web hébergé sur Apache.

Configurer Kerberos SSO pour le répertoire du site

    Pour UBUNTU:

      -Modifiez le fichier /etc/apache2/sites-enabled/000-default.conf.

    • Ajoutez la section suivante dans le répertoire du site.
        • AuthType Kerberos KrbAuthRealms EXEMPLE.ORG KrbServiceName HTTP Krb5Keytab KrbMethodNegotiate sur KrbMethodK5Passwd sur nécessite un utilisateur valide
    Pour RHEL / CentOS:

      -Modifiez le fichier de configuration auth_kerb.conf dans le dossier /etc/httpd/conf.d/.

    • Ajoutez la section suivante dans le répertoire du site.
        • LoadModule auth_kerb_module /usr/lib/apache2/modules/mod_auth_kerb.so AuthType Kerberos KrbAuthRealms EXEMPLE.ORG KrbServiceName HTTP Krb5Keytab KrbMethodNegotiate sur KrbMethodK5Passwd sur nécessite un utilisateur valide

      REMARQUE: Ensure EXEMPLE.ORG doit être en majuscule.

      Voici les composants de la configuration ci-dessus :

        EXEMPLE.ORG : Il s'agit du domaine Active Directory tel que configuré dans krb5.conf.
        CHEMIN VERS KEYTAB : Chemin accessible vers le keytab sur ce serveur.
    • Après cette configuration, Apache doit être redémarré pour que les modifications prennent effet.

Dépannage

Voici les messages d'erreur les plus courants : 
    Échec de gss_acquire_cred() : échec GSS non spécifié. Un code mineur peut fournir plus d'informations (, Autorisation refusée).
  • Mauvaises autorisations du système de fichiers pour /etc/krb5.keytab, c'est-à-dire non lisibles pour l'utilisateur Linux du serveur Web.
  • Pour modifier les autorisations du système de fichiers, utilisez $ chmod 400 nom de fichier
    • Échec de gss_acquire_cred() : échec GSS non spécifié. Un code mineur peut fournir plus d'informations (, Entrée de la table clé introuvable).
  • Principal de service manquant (éventuellement HTTP/webserver.yourdomain.com@YOURDOMAIN.COM) dans /etc/krb5.keytab.
    • Mise en garde: le jeton reçu semble être NTLM, qui n'est pas pris en charge par le module Kerberos. Vérifiez votre configuration IE. Échec de gss_accept_sec_context() : un mécanisme non pris en charge a été demandé (, erreur inconnue)
  • Le site Web n'est pas dans la zone « Intranet local » dans IE ou IE est mal configuré, voir L'authentification utilise NTLM au lieu de Kerberos.
    • Échec de gss_accept_sec_context() : échec GSS non spécifié. Un code mineur peut fournir plus d'informations (, ).
  • Mauvais mot de passe kvno ou machine dans /etc/krb5.keytab → recréez le keytab en utilisant les informations correctes.
  • Problème avec le cache de tickets Kerberos local sur votre poste de travail, utilisez Kerbtray.exe pour purger le cache de tickets et ouvrez à nouveau le site Web dans IE.

Ressources additionnelles.

Essai commercial

Si vous souhaitez un essai Business GRATUIT Cliquez ici

Si vous ne trouvez pas ce que vous cherchez, veuillez nous contacter au joomlasupport@xecurify.com ou appelez-nous au Tel: +1 (978)658 9387 .

Recherches tendances :
Bonjour!

Besoin d'aide? Nous sommes ici !
Support
Contacter l'assistance miniOrange
succès

Merci pour votre demande.

Si vous n'avez pas de nouvelles de nous dans les 24 heures, n'hésitez pas à envoyer un e-mail de suivi à info@xecurify.com