UBUNTU/RHEL/CentOS용 NTLM/Kerberos SSO Single Sign-On 설정

Kerberos SSO 확장을 사용하면 조직의 Active Directory 또는 기타 ID 공급자 도메인에서 Kerberos TGT(티켓 부여 티켓)를 더 쉽게 얻을 수 있으므로 사용자는 웹 사이트, 애플리케이션, 파일 서버와 같은 리소스에 인증할 수 있습니다.

플러그인 다운로드

구성 지원 및 무료 평가판

플러그인 구성에 대한 지원을 원하거나 통합하려는 경우 Kerberos LDAP Joomla를 사용하여 다음을 클릭하세요. 무료 구성 설정 버튼을 클릭합니다.

우리는 플러그인의 모든 기능을 완전히 테스트할 수 있는 7일 전체 기능 평가판을 제공합니다. 무료 비즈니스 평가판 버튼을 클릭합니다.

SSO(Single Sign-On)를 위해 Kerberos SSO LDAP를 통합하는 단계

웹 서버에 Kerberos 클라이언트 라이브러리 설치

럭셔리 UBUNTU:

• Kerberos 클라이언트 라이브러리를 설치하려면 터미널에서 다음 명령을 사용하십시오.
sudo apt-get 설치 krb5-사용자
럭셔리 RHEL/센트OS:

• Kerberos 클라이언트 라이브러리를 설치하려면 터미널에서 다음 명령을 사용하십시오.
냠 설치 krb5-워크스테이션 krb5-libs krb5-auth-dialog

Kerberos 구성 파일에서 Active Directory 도메인을 구성합니다.

다음 단계는 Kerberos 구성 파일에서 Active Directory 도메인을 구성하는 데 사용됩니다.

• /etc/krb5.conf 파일을 열고 편집합니다.
• krb5.conf 파일에 다음 구성 조각을 추가합니다.
EXAMPLE.ORG= { kdc = :88 }

알림: 교체 광고 도메인 컨트롤러 IP/DNS 귀하의 IP/DNS 주소로. 보장하다 EXAMPLE.ORG 대문자여야 합니다.

- 교체 EXAMPLE.ORG Active Directory 도메인 이름으로.

- 그리고 이 서버에서 AD 도메인 컨트롤러의 포트 88에 액세스할 수 있는지 확인하세요.

• 파일을 저장합니다.

Apache용 auth_kerb 모듈 설치

럭셔리 UBUNTU:
• Apache용 auth_kerb 모듈을 설치하려면 다음 명령을 사용하십시오.
sudo apt-get 설치 libapache2-mod-auth-kerb
• auth_kerb 모듈이 설치되면 다음 명령을 통해 활성화해야 합니다.
a2enmod auth_kerb
• 활성화한 후 Apache를 다시 시작하면 적용됩니다.

럭셔리 RHEL/센트OS:
• Apache용 auth_kerb 모듈을 설치하려면 다음 명령을 사용하십시오.
yum 설치 mod_auth_kerb
• 적용하려면 Apache를 다시 시작하십시오.

AD 도메인 컨트롤러에서 Keytab 파일 생성

• AD 도메인 컨트롤러에서 다음 명령을 실행하여 Keytab 파일을 생성합니다.
ktpass -princ HTTP/ @EXAMPLE.ORG -패스워드 비밀번호
-mapuser -Ptype KRB5_NT_PRINCIPAL -out " \spn.keytab"


알림: 확인 EXAMPLE.ORG 대문자여야 합니다.

다음은 명령의 구성 요소입니다.

서버 호스트 이름:	서버에서 호스팅되는 사이트의 호스트 이름입니다.
서버 호스트 이름:	서버에서 호스팅되는 사이트의 호스트 이름입니다.
EXAMPLE.ORG:	Active Directory 도메인 이름입니다.
암호:	위에서 사용한 서비스 계정의 비밀번호입니다.
svc@EXAMPLE.ORG:	Active Directory의 서비스 계정입니다.
통로:	keytab 파일을 저장할 로컬 위치의 경로입니다.

알림: 위 명령은 keytab 파일을 생성합니다. 서버에 배치해야 합니다. Apache를 실행하는 사용자는 이 파일에 대한 전체 액세스 권한이 있어야 합니다. 사용자는 keytab 파일에 대한 권한이 있어야 합니다.

• 서비스 계정에는 몇 가지 전제 조건이 있습니다.
• 계정 비밀번호에는 비밀번호가 다음으로 설정되어 있어야 합니다. 만료되지 않음.
• 위임을 위해 계정을 신뢰해야 합니다.
• 복사 키탭 AD 도메인 컨트롤러에서 Apache에서 호스팅되는 웹 서버로 파일을 전송합니다.

사이트 디렉터리에 대한 Kerberos SSO 구성

럭셔리 UBUNTU:


- /etc/apache2/sites-enabled/000-default.conf 파일을 편집합니다.

• 사이트 디렉터리에 다음 섹션을 추가합니다.
AuthType Kerberos KrbAuthRealms EXAMPLE.ORG KrbServiceName HTTP Krb5Keytab 유효한 사용자가 필요한 경우 KrbMethodK5Passwd에 대한 KrbMethodNegotiate

럭셔리 RHEL/센트OS:


- /etc/httpd/conf.d/ 폴더에서 auth_kerb.conf 구성 파일을 편집합니다.

• 사이트 디렉터리에 다음 섹션을 추가합니다.
로드 모듈 auth_kerb_module /usr/lib/apache2/modules/mod_auth_kerb.so AuthType Kerberos KrbAuthRealms EXAMPLE.ORG KrbServiceName HTTP Krb5Keytab 유효한 사용자가 필요한 경우 KrbMethodK5Passwd에 대한 KrbMethodNegotiate

알림: 확인 EXAMPLE.ORG 대문자여야 합니다.

위 구성의 구성 요소는 다음과 같습니다.

EXAMPLE.ORG:	이는 krb5.conf에 구성된 Active Directory 도메인입니다.
키탭 경로:	이 서버의 키탭에 대한 액세스 가능한 경로입니다.

• 이 구성 후에 변경 사항을 적용하려면 Apache를 다시 시작해야 합니다.

문제해결

가장 일반적인 오류 메시지는 다음과 같습니다.

gss_acquire_cred() 실패: 지정되지 않은 GSS 실패입니다. 마이너 코드는 더 많은 정보를 제공할 수 있습니다(, 권한이 거부됨).

• /etc/krb5.keytab에 대한 파일 시스템 권한이 잘못되었습니다. 즉, 웹 서버의 Linux 사용자가 읽을 수 없습니다.
• 파일 시스템 권한을 변경하려면 다음을 사용하십시오. $ chmod 400 파일 이름

gss_acquire_cred() 실패: 지정되지 않은 GSS 실패입니다. 마이너 코드는 추가 정보를 제공할 수 있습니다(키 테이블 항목을 찾을 수 없음).

• /etc/krb5.keytab에 서비스 주체(HTTP/webserver.yourdomain.com@YOURDOMAIN.COM)가 누락되었습니다.

경고: 수신된 토큰은 Kerberos 모듈에서 지원하지 않는 NTLM인 것 같습니다. IE 구성을 확인하세요. gss_accept_sec_context() 실패: 지원되지 않는 메커니즘이 요청되었습니다(, 알 수 없는 오류).

• 웹 사이트가 IE의 "로컬 인트라넷" 영역에 없거나 IE가 잘못 구성되었습니다. 인증이 Kerberos 대신 NTLM을 사용함을 참조하세요.

gss_accept_sec_context() 실패: 지정되지 않은 GSS 실패입니다. 마이너 코드는 더 많은 정보(, )를 제공할 수 있습니다.

• /etc/krb5.keytab에 잘못된 kvno 또는 시스템 비밀번호 → 올바른 정보를 사용하여 키탭을 다시 생성하십시오.
• 워크스테이션의 로컬 Kerberos 티켓 캐시에 문제가 있습니다. Kerbtray.exe를 사용하여 티켓 캐시를 제거하고 IE에서 웹 사이트를 다시 여십시오.

추가 리소스.

• NTLM 구성 단계
• LDAP/Active Directory를 사용하여 Joomla 로그인 구성
• NTLM/Kerberos 인증 메커니즘
• Kerberos SSO(Single Sign-On) 설정 가이드

비즈니스 평가판

무료로 비즈니스 평가판을 원하는 경우 Click Here

원하는 내용을 찾지 못한 경우 다음 주소로 문의해 주세요. joomlasupport@xecurify.com 또는로 문의 +1 978 658 9387.