UBUNTU/RHEL/CentOS 用の NTLM/Kerberos SSO シングルサインオンの設定

概要

Kerberos SSO 拡張機能を使用すると、組織の Active Directory またはその他の ID プロバイダードメインから Kerberos チケット保証チケット (TGT) を簡単に取得できるため、ユーザーは Web サイト、アプリケーション、ファイルサーバーなどのリソースに対して認証できるようになります。

シングルサインオン (SSO) 用に Kerberos SSO LDAP を統合する手順

ステップ 1: Web サーバーに Kerberos クライアントライブラリをインストールする

UBUNTUの場合:

端末で次のコマンドを使用して、Kerberos クライアントライブラリをインストールします。

sudo apt-get install krb5-user

RHEL/CentOSの場合:

端末で次のコマンドを使用して、Kerberos クライアントライブラリをインストールします。

yum install krb5-workstation krb5-libs krb5-auth-dialog

ステップ2: Kerberos構成ファイルでActive Directoryドメインを構成する

Kerberos 構成ファイルで Active Directory ドメインを構成するには、次の手順を使用します。

/etc/krb5.conf ファイルを開いて編集します。
次の構成スニペットを krb5.conf ファイルに追加します。

EXAMPLE.ORG= { kdc = <AD DOMAIN CONTROLLER IP/DNS> :88 }

注: 置き換える 広告ドメインコントローラーのIP/DNS IP/DNSアドレスを入力してください。 Example.org 大文字にする必要があります。

置き換える Example.org Active Directory ドメイン名を使用します。

また、AD ドメインコントローラーのポート 88 がこのサーバーからアクセスできることを確認してください。

ファイルを保存します。

ステップ3: Apacheのauth_kerbモジュールをインストールする

UBUNTUの場合:

次のコマンドを使用して、Apache の auth_kerb モジュールをインストールします。

sudo apt-get install libapache2-mod-auth-kerb

auth_kerb モジュールをインストールしたら、次のコマンドを使用して有効にする必要があります。

a2enmod auth_kerb

有効にした後、Apache を再起動して有効にします。

RHEL/CentOSの場合:

次のコマンドを使用して、Apache の auth_kerb モジュールをインストールします。

yum install mod_auth_kerb

Apache を再起動して有効にします。

ステップ4: ADドメインコントローラにKeytabファイルを作成する

AD ドメインコントローラーで次のコマンドを実行して Keytab ファイルを作成します。

ktpass -princ HTTP/<Server Host Name>@EXAMPLE.ORG -pass PASSWORD
        -mapuser <svc@EXAMPLE.ORG> -Ptype KRB5_NT_PRINCIPAL -out "<PATH>\spn.keytab"

注: EXPLAIN.ORG が大文字であることを確認してください。

サーバーのホスト名:	これは、サーバー上でホストされているサイトのホスト名です。
サーバーのホスト名:	これは、サーバー上でホストされているサイトのホスト名です。
例.org:	これは、Active Directory ドメイン名です。
パスワード：	上記で使用したサービスアカウントのパスワードです。
svc@EXAMPLE.ORG:	これは、Active Directory のサービスアカウントです。
パス：	キータブファイルを保存するローカルの場所へのパス。

注: 上記のコマンドは、キータブファイルを作成します。このファイルはサーバー上に配置する必要があります。Apache を実行しているユーザーには、このファイルへのフルアクセス権が必要です。ユーザーには、キータブファイルへのアクセス許可が必要です。

サービスアカウントにはいくつかの前提条件があります。

アカウントのパスワードは次のように設定されている必要があります。 有効期限が切れていない.
アカウントは委任に対して信頼される必要があります。

コピー キータブ ファイルを AD ドメインコントローラーから Apache でホストされている Web サーバーに送信します。

ステップ 5: サイトディレクトリの Kerberos SSO を構成する

UBUNTUの場合:

/etc/apache2/sites-enabled/000-default.conf ファイルを編集します。
サイトのディレクトリに次のセクションを追加します。

<Directory "/placeholder"> AuthType Kerberos KrbAuthRealms EXAMPLE.ORG KrbServiceName HTTP Krb5Keytab <PATH TO KEYTAB> KrbMethodNegotiate on KrbMethodK5Passwd on require valid-user </Directory>

RHEL/CentOSの場合:

/etc/httpd/conf.d/ フォルダ内の auth_kerb.conf 設定ファイルを編集します。
サイトのディレクトリに次のセクションを追加します。

LoadModule auth_kerb_module /usr/lib/apache2/modules/mod_auth_kerb.so <Directory "/placeholder"> AuthType Kerberos KrbAuthRealms EXAMPLE.ORG KrbServiceName HTTP Krb5Keytab <PATH TO KEYTAB> KrbMethodNegotiate on KrbMethodK5Passwd on require valid-user </Directory>

注: EXPLAIN.ORG が大文字であることを確認してください。

上記の構成のコンポーネントは次のとおりです。

例.org:	これは、krb5.conf で構成されている Active Directory ドメインです。
キータブへのパス:	このサーバー上のキータブへのアクセス可能なパス。

この構成後、変更を有効にするために Apache を再起動する必要があります。

最も一般的なエラーメッセージは次のとおりです。

gss_acquire_cred() failed: Unspecified GSS failure. Minor code may provide more information (, Permission denied).

/etc/krb5.keytab に対するファイルシステムのアクセス許可が間違っています。つまり、Web サーバーの Linux ユーザーが読み取ることができません。
ファイルシステムのアクセス許可を変更するには、次のコマンドを使用します。 $ chmod 400 ファイル名.

gss_acquire_cred() failed: Unspecified GSS failure. Minor code may provide more information (, Key table entry not found).

/etc/krb5.keytab にサービスプリンシパル (おそらく HTTP/webserver.yourdomain.com@YOURDOMAIN.COM) がありません。

Warning: received token seems to be NTLM, which isn't supported by the Kerberos module. Check your IE configuration.
        gss_accept_sec_context() failed: An unsupported mechanism was requested (, Unknown error)

Web サイトが IE の「ローカルイントラネット」ゾーンにないか、IE が正しく構成されていません。認証で Kerberos ではなく NTLM が使用されるを参照してください。

gss_accept_sec_context() failed: Unspecified GSS failure. Minor code may provide more information (, ).

/etc/krb5.keytab 内の kvno またはマシンのパスワードが間違っている → 正しい情報を使用して keytab を再作成します。
ワークステーションのローカル Kerberos チケットキャッシュに問題があります。Kerbtray.exe を使用してチケットキャッシュを消去し、IE で Web サイトを再度開いてください。

シングルサインオン

SAMLサービスプロバイダー

OAuth/OpenId Connect クライアント (SSO)

ソーシャルログイン ソーシャルシェアリング

ヘッドレスシングルサインオン

SAML ID プロバイダー

OAuth/OpenId 接続サーバー

YourMembershipを使用してログイン

JWT を使用した自動ログインと登録

多要素認証(MFA)

二要素認証

OTP 経由の WooCommerce パスワード リセット

電話による OTP

一括SMS/WhatsApp通知

OTP検証

OTP リクエストの制限

WhatsApp で OTP と通知を受信する

LDAP/Active Directory 統合

WordPress の LDAP/Active Directory 統合

Active Directory 向け WP スタッフ/従業員検索ディレクトリ

クラウドと共有ホスト WordPress の LDAP/AD 統合

WordPress の Active Directory とのフォーム統合

Office365 統合

SharePoint ワードプレス

PowerBI WordPress の統合

Outlook と MS Teams の統合

Azure AD / Office 365 アプリの統合

Azure AD / Entra ID WordPress 同期

Dynamics CRM 365 WordPress の統合

WooCommerce統合

WooCommerce 製品の同期

WooCommerce インテグレーター

Dynamics CRM 365 WordPress の統合

Salesforce WooCommerce 統合

分散ID

デジタルIDログイン

Web3 WordPress認証

WordPress Web3 スイート

WordPress NFT マーケットプレイス

WordPress スマートコントラクト

アドオン

ページと投稿の制限

LearnDash インテグレーター

WooCommerce インテグレーター

SSO ログイン監査

有料会員プロインテグレーター

メディア制限

BuddyPress インテグレーター

WordPress Discord インテグレーター

ゲストユーザーログイン

SCIM ユーザーのプロビジョニング

メンバープレスインテグレーター

SSO セッション管理

属性ベースのリダイレクト

他のプラグイン

RESTAPI認証

WordPress 用のカスタム API

LMS 向けの WordPress オンライン監督

コード自動化なし

Salesforce のオブジェクト データ同期

サードパーティアプリ向けのWP User Sync統合

WP ユーザーとログインの管理

Webエージェンシー向け管理ツール

シングルサインオン

SAML SSO

クラウド SSO

ケルベロス / NTLM SSO

ヘルプデスク SSO 統合

OAuth/OpenID SSO

Git 認証

高度な SSO オプション

ヘルプ＆サポート

ユーザー管理プラットフォーム

SCIMプロビジョニング

WORD/PDF エクスポーター

プロジェクト構成マネージャー

一括ユーザー管理

集中ライセンスマネージャー

カスタムユーザープロファイル

ヘルプ＆サポート

ソーシャルログインソーシャルシェアリング

OTP 経由の WooCommerce パスワードリセット

Salesforce のオブジェクトデータ同期