Étapes pour configurer Kerberos sur UBUNTU/RHEL (CentOS)

Étape 1 : installer les bibliothèques clientes Kerberos sur le serveur Web

Pour UBUNTU:

• Utilisez la commande suivante sur votre terminal pour installer les bibliothèques client Kerberos.
sudo apt-get install krb5-user
Pour RHEL / CentOS:

• Utilisez la commande suivante sur votre terminal pour installer les bibliothèques client Kerberos.
yum install krb5-workstation krb5-libs krb5-auth-dialog

Étape 2 : Configurez le domaine Active Directory dans le fichier de configuration Kerberos

Les étapes suivantes sont utilisées pour configurer les domaines Active Directory dans le fichier de configuration Kerberos :

• Ouvrez et modifiez le fichier /etc/krb5.conf.
• Ajoutez l'extrait de configuration suivant au fichier krb5.conf.
EXAMPLE.ORG= { kdc = <AD DOMAIN CONTROLLER IP/DNS> :88 }

REMARQUE: Remplacez le CONTRÔLEUR DE DOMAINE AD IP/DNS avec votre adresse IP/DNS. Assurer EXEMPLE.ORG doit être en majuscule.

- Remplace le EXEMPLE.ORG avec le nom de domaine Active Directory.

- Et assurez-vous que le port 88 du contrôleur de domaine AD est accessible depuis ce serveur.

• Enregistrez le fichier.

Étape 3 : Installez le module auth_kerb pour Apache

Pour UBUNTU:
• Utilisez la commande suivante pour installer le module auth_kerb pour Apache.
sudo apt-get install libapache2-mod-auth-kerb
• Une fois le module auth_kerb installé, il doit être activé via la commande suivante.
a2enmod auth_kerb
• Après avoir activé, redémarrez Apache pour prendre effet.

Pour RHEL / CentOS:
• Utilisez la commande suivante pour installer le module auth_kerb pour Apache.
yum install mod_auth_kerb
• Redémarrez Apache pour prendre effet.

Étape 4 : Créer un fichier Keytab sur le contrôleur de domaine AD

• Sur le contrôleur de domaine AD, exécutez la commande suivante pour créer le fichier Keytab.
ktpass -princ HTTP/<Server Host Name>@EXAMPLE.ORG -pass PASSWORD
-mapuser <svc@EXAMPLE.ORG> -Ptype KRB5_NT_PRINCIPAL -out "<PATH>\spn.keytab"


REMARQUE: Ensure EXEMPLE.ORG doit être en majuscule.

Voici les composants de la commande.

Nom d'hôte du serveur :	Il s'agit du nom d'hôte du site hébergé sur le Serveur.
Nom d'hôte du serveur :	Il s'agit du nom d'hôte du site hébergé sur le Serveur.
EXEMPLE.ORG :	Il s'agit du nom de domaine Active Directory.
MOT DE PASSE:	Il s'agit du mot de passe du compte de service utilisé ci-dessus.
svc@EXAMPLE.ORG :	Il s'agit d'un compte de service dans Active Directory.
Chemin:	Chemin vers un emplacement local qui stockera le fichier keytab.

REMARQUE: La commande ci-dessus crée un fichier keytab. Il doit être placé sur le serveur. L'utilisateur exécutant Apache doit avoir un accès complet à ce fichier. L'utilisateur doit avoir l'autorisation d'accéder au fichier keytab.

• Le compte de service a quelques prérequis :
• Le mot de passe du compte doit avoir un mot de passe défini sur Non expiré.
• Le compte doit être approuvé pour la délégation.
• Copiez le Onglet de touches fichier du contrôleur de domaine AD vers le serveur Web hébergé sur Apache.

Étape 5 : Configurer Kerberos SSO pour le répertoire du site

Pour UBUNTU:


-Modifiez le fichier /etc/apache2/sites-enabled/000-default.conf.

• Ajoutez la section suivante dans le répertoire du site.
<Directory "/placeholder"> AuthType Kerberos KrbAuthRealms EXAMPLE.ORG KrbServiceName HTTP Krb5Keytab <PATH TO KEYTAB> KrbMethodNegotiate on KrbMethodK5Passwd on require valid-user </Directory>

Pour RHEL / CentOS:


-Modifiez le fichier de configuration auth_kerb.conf dans le dossier /etc/httpd/conf.d/.

• Ajoutez la section suivante dans le répertoire du site.
LoadModule auth_kerb_module /usr/lib/apache2/modules/mod_auth_kerb.so <Directory "/placeholder"> AuthType Kerberos KrbAuthRealms EXAMPLE.ORG KrbServiceName HTTP Krb5Keytab <PATH TO KEYTAB> KrbMethodNegotiate on KrbMethodK5Passwd on require valid-user </Directory>

REMARQUE: Ensure EXEMPLE.ORG doit être en majuscule.

Voici les composants de la configuration ci-dessus :

EXEMPLE.ORG :	Il s'agit du domaine Active Directory tel que configuré dans krb5.conf.
CHEMIN VERS KEYTAB :	Chemin accessible vers le keytab sur ce serveur.

• Après cette configuration, Apache doit être redémarré pour que les modifications prennent effet.

Dépannage

Échec de gss_acquire_cred() : échec GSS non spécifié. Un code mineur peut fournir plus d'informations (, Autorisation refusée).

• Mauvaises autorisations du système de fichiers pour /etc/krb5.keytab, c'est-à-dire non lisibles pour l'utilisateur Linux du serveur Web.
• Pour modifier les autorisations du système de fichiers, utilisez $ chmod 400 nom de fichier

Échec de gss_acquire_cred() : échec GSS non spécifié. Un code mineur peut fournir plus d'informations (, Entrée de la table clé introuvable).

• Principal de service manquant (éventuellement HTTP/webserver.yourdomain.com@YOURDOMAIN.COM) dans /etc/krb5.keytab.

Mise en garde: le jeton reçu semble être NTLM, qui n'est pas pris en charge par le module Kerberos. Vérifiez votre configuration IE. Échec de gss_accept_sec_context() : un mécanisme non pris en charge a été demandé (, erreur inconnue)

• Le site Web n'est pas dans la zone « Intranet local » dans IE ou IE est mal configuré, voir L'authentification utilise NTLM au lieu de Kerberos.

Échec de gss_accept_sec_context() : échec GSS non spécifié. Un code mineur peut fournir plus d'informations (, ).

• Mauvais mot de passe kvno ou machine dans /etc/krb5.keytab → recréez le keytab en utilisant les informations correctes.
• Problème avec le cache de tickets Kerberos local sur votre poste de travail, utilisez Kerbtray.exe pour purger le cache de tickets et ouvrez à nouveau le site Web dans IE.