UBUNTU/RHEL (CentOS) で Kerberos をセットアップする手順

ステップ 1: Web サーバーに Kerberos クライアント ライブラリをインストールする

UBUNTU:

• 端末で次のコマンドを使用して、Kerberos クライアント ライブラリをインストールします。
sudo apt-get install krb5-user
RHEL / CentOS:

• 端末で次のコマンドを使用して、Kerberos クライアント ライブラリをインストールします。
yum install krb5-workstation krb5-libs krb5-auth-dialog

ステップ 2: Kerberos 構成ファイルで Active Directory ドメインを構成する

Kerberos 構成ファイルで Active Directory ドメインを構成するには、次の手順を使用します。

• /etc/krb5.conf ファイルを開いて編集します。
• 次の構成スニペットを krb5.conf ファイルに追加します。
EXAMPLE.ORG= { kdc = <AD DOMAIN CONTROLLER IP/DNS> :88 }

注意： 置き換える 広告ドメインコントローラーのIP/DNS IP/DNS アドレスを使用してください。 確保する Example.org 大文字にする必要があります。

-を交換 Example.org Active Directory ドメイン名を使用します。

- AD ドメイン コントローラーのポート 88 がこのサーバーからアクセスできることを確認します。

• ファイルを保存します。

ステップ 3: Apache 用の auth_kerb モジュールをインストールする

UBUNTU:
• 次のコマンドを使用して、Apache の auth_kerb モジュールをインストールします。
sudo apt-get install libapache2-mod-auth-kerb
• auth_kerb モジュールをインストールしたら、次のコマンドを使用して有効にする必要があります。
a2enmod auth_kerb
• 有効にした後、Apache を再起動して有効にします。

RHEL / CentOS:
• 次のコマンドを使用して、Apache の auth_kerb モジュールをインストールします。
yum install mod_auth_kerb
• Apache を再起動して有効にします。

ステップ 4: AD ドメイン コントローラーで Keytab ファイルを作成する

• AD ドメイン コントローラーで次のコマンドを実行して Keytab ファイルを作成します。
ktpass -princ HTTP/<Server Host Name>@EXAMPLE.ORG -pass PASSWORD
-mapuser <svc@EXAMPLE.ORG> -Ptype KRB5_NT_PRINCIPAL -out "<PATH>\spn.keytab"


注意： 確保 Example.org 大文字にする必要があります。

コマンドのコンポーネントは次のとおりです。

サーバーのホスト名:	これは、サーバー上でホストされているサイトのホスト名です。
サーバーのホスト名:	これは、サーバー上でホストされているサイトのホスト名です。
例.org:	これは、Active Directory ドメイン名です。
パスワード：	上記で使用したサービスアカウントのパスワードです。
svc@EXAMPLE.ORG:	これは、Active Directory のサービス アカウントです。
パス：	キータブ ファイルを保存するローカルの場所へのパス。

注意： 上記のコマンドは keytab ファイルを作成します。 サーバー上に配置する必要があります。 Apache を実行しているユーザーは、このファイルへの完全なアクセス権を持っている必要があります。ユーザーは、keytab ファイルへのアクセス許可を持っている必要があります。

• サービス アカウントにはいくつかの前提条件があります。
• アカウントのパスワードは次のように設定されている必要があります。 有効期限が切れていない.
• アカウントは委任に対して信頼される必要があります。
• コピー キータブ ファイルを AD ドメイン コントローラーから Apache でホストされている Web サーバーに送信します。

ステップ 5: サイト ディレクトリの Kerberos SSO を構成する

UBUNTU:


- /etc/apache2/sites-enabled/000-default.conf ファイルを編集します。

• サイトのディレクトリに次のセクションを追加します。
<Directory "/placeholder"> AuthType Kerberos KrbAuthRealms EXAMPLE.ORG KrbServiceName HTTP Krb5Keytab <PATH TO KEYTAB> KrbMethodNegotiate on KrbMethodK5Passwd on require valid-user </Directory>

RHEL / CentOS:


- /etc/httpd/conf.d/ フォルダー内の auth_kerb.conf 構成ファイルを編集します。

• サイトのディレクトリに次のセクションを追加します。
LoadModule auth_kerb_module /usr/lib/apache2/modules/mod_auth_kerb.so <Directory "/placeholder"> AuthType Kerberos KrbAuthRealms EXAMPLE.ORG KrbServiceName HTTP Krb5Keytab <PATH TO KEYTAB> KrbMethodNegotiate on KrbMethodK5Passwd on require valid-user </Directory>

注意： 確保 Example.org 大文字にする必要があります。

上記の構成のコンポーネントは次のとおりです。

例.org:	これは、krb5.conf で構成されている Active Directory ドメインです。
キータブへのパス:	このサーバー上のキータブへのアクセス可能なパス。

• この構成後、変更を有効にするために Apache を再起動する必要があります。

トラブルシューティング

gss_acquire_cred() が失敗しました: 不明な GSS エラー。 マイナー コードにより詳細な情報が提供される場合があります (許可が拒否されました)。

• /etc/krb5.keytab に対するファイル システムのアクセス許可が間違っています。つまり、Web サーバーの Linux ユーザーが読み取ることができません。
• ファイル システムのアクセス許可を変更するには、次のコマンドを使用します。 $ chmod 400 ファイル名

gss_acquire_cred() が失敗しました: 不明な GSS エラー。 マイナー コードにより詳細な情報が提供される場合があります (キー テーブル エントリが見つかりません)。

• /etc/krb5.keytab にサービス プリンシパル (おそらく HTTP/webserver.yourdomain.com@YOURDOMAIN.COM) がありません。

警告： 受信したトークンは NTLM のようですが、これは Kerberos モジュールでサポートされていません。 IEの設定を確認してください。 gss_accept_sec_context() が失敗しました: サポートされていないメカニズムが要求されました (、不明なエラー)

• Web サイトが IE の「ローカル イントラネット」ゾーンに存在しないか、IE が正しく構成されていません。「認証で Kerberos の代わりに NTLM が使用される」を参照してください。

gss_accept_sec_context() が失敗しました: 不明な GSS エラー。 マイナー コードにより詳細な情報が提供される場合があります (, )。

• /etc/krb5.keytab 内の kvno またはマシンのパスワードが間違っている → 正しい情報を使用して keytab を再作成します。
• ワークステーション上のローカル Kerberos チケット キャッシュに問題があります。Kerbtray.exe を使用してチケット キャッシュを削除し、IE で Web サイトを再度開きます。