Sökresultat :

×
Registrera Kontakta oss

Innehåll

Ställ in Kerberos/NTLM SSO med Apache på Windows

steg-för-steg-riktlinjer för installation Kerberos-autentisering på windows med apache. Lär dig hur du konfigurerar Kerberos för säker och sömlös användarautentisering, inklusive initial konfiguration, inställningar, webbläsarkonfigurationer.

Läs mer Prissättning planer

Enkel LDAP/Active Directory-integration för WordPress Video.

  • Öppna kommandotolken i Administratörsläge.
  • Kör följande kommando för att lägga till Service Principal Name (SPN) för tjänstekontot.
    • Setspn -s http/<computer-name>.<domain-name> <domain-user-account>

    Exempel: C:\Users\Administrator> setspn -S HTTP/maskinnamn.domän.com tjänstekonto


    LDAP-inloggning för- intranätsajter - kerberos SSO enkel inloggning

    Obs:"maskinnamn.domän.com" här är datornamn. Se till att det går att lösa på Windows-servern som kör AD-tjänsten.


  • Kontrollera om detta har ställts in korrekt genom att köra följande kommando:
    • setspn -l domain\service_account
  • Resultatet bör listas http/maskinnamn.domän.com
  • Öppna Active Directory användare och datorer och välj från toppmenyn Visa >> Avancerade funktioner.
  • Öppna tjänstekontot och gå till attributredigerare fliken, bläddra till servicePrincipalName för att verifiera SPN-inträde.
  • Navigera till Delegation fliken.
  • Välja Lita på den här användaren för delegering till valfri tjänst (endast Kerberos).
Kerberos för Windows-autentisering på IIS-server

  • Klicka Ansök.
  • Klicka här för att ladda ner apache-modulen.
  • kopiera mod_authnz_sspi.so från Apache24 > moduler mappen och placera den i katalogen moduler (C:\xampp\apache\modules).
  • kopiera sspipkgs.exe fil från Apache24 -> bin och placera den i bin-mappen i din Xampp apache-mapp (.....\xampp\apache\bin) på din webbserver.
  • Öppna httpd.conf (.....\xampp\apache\conf) och placera kodraden nedan i avsnittet LoadModule.
    • LoadModule authnz_sspi_module modules/mod_authnz_sspi.so
  • Se till att följande moduler är okommenterade:
    • LoadModule authn_core_module modules/mod_authn_core.so
    LoadModule authz_core_module modules/mod_authz_core.so
  • Se också till att aktivera ldap-förlängning.
  • Öppna filen httpd.conf från (.....\xampp\apache\conf\httpd.conf).
    Gå till och klistra in raderna nedan efter #Kräv alla anslag.
    • <Directory "...../xampp/htdocs">
    ......
    ......
    #Require all granted
    AllowOverride None Options None
    AuthType SSPI
    SSPIAuth On
    SSPIAuthoritative On
    Require valid-user
    </Directory>
  • Starta om din Apache-server.

LDAP-inloggning för- intranätsajter - kerberos SSO enkel inloggning

Obs: Konfigurationen på klientsidan gör det möjligt för respektive webbläsare att använda SPNEGO för att förhandla fram Kerberos-autentisering för webbläsaren. Du måste se till att webbläsaren på en slutanvändares system är konfigurerad för att stödja Kerberos-autentisering.

Allmän Kerberos SSO-konfiguration för alla webbläsare:

  • Gå till Kontrollpanelen och klicka på Nätverk och Internet >> Internetalternativ.
  • Detta öppnar ett fönster för Internetegenskaper. Klicka på Säkerhet >> Lokalt intranät >> Webbplatser.
Konfigurera webbläsare för Kerberos-autentisering med inställningar för internetalternativ
  • Klicka sedan på Avancerad knapp.
Konfigurera förhandsinställningar från internetalternativ för Kerberos SSO på Chrome och Internet Explorer
  • I Lägg till denna webbplats i zonen lägg till webbadressen som du vill logga in med SSO.
Konfigurera webbplatsen i Intranet Zone från internetalternativ för Kerberos SSO
  • Klicka Verktyg > Internetalternativ > Säkerhet > Lokalt intranät > Anpassad nivå.
  • Rulla ned till alternativen för Användarautentisering och välj Automatisk inloggning endast i intranätszonen.
Automatisk inloggning till intranätszonen med Kerberos autentiseringsprotokoll
  • Klicka på Ok knappen och starta sedan om din webbläsare.

När du är klar med ovanstående inställningar behöver du inte konfigurera webbläsarinställningarna för Internet Explorer, Google Chrome och Apple Safari.

Internet Explorer:

Som standard kommer de allmänna webbläsarkonfigurationsinställningarna att vara tillämpliga, inga fler ytterligare inställningar krävs för Internet Explorer.

Google Chrome:

Som standard är de allmänna webbläsarkonfigurationsinställningarna tillämpliga, inga fler ytterligare inställningar krävs för Google Chrome.

Mozilla Firefox:

  • Öppna webbläsaren Mozilla Firefox och ange about: config i adressfältet.
  • Sök efter network.negotiate-auth.trusted-uris Inställningsnamn och klicka på Redigera. ange värdnamnet eller domänen för webbservern som skyddas av Kerberos HTTP SPNEGO. Ange flera domäner och värdnamn separerade med kommatecken.
Konfigurera mozilla Firefox för kerberos SSO (enkel inloggning)
  • Sök efter network.automatic-ntlm-auth.trusted-uris Inställningsnamn och klicka på Redigera. ange värdnamnet eller domänen för webbservern som skyddas av Kerberos HTTP SPNEGO. Ange flera domäner och värdnamn separerade med kommatecken.
konfigurera mozilla Firefox-inställningar för kerberos-autentisering

  • Klicka OK och starta sedan om din webbläsare.

Apple Safari:

Safari på Windows stöder SPNEGO utan ytterligare konfiguration. Den stöder både kerberos och NTLM som undermekanism till SPENGO.

Fler vanliga frågor ➔

Ja, du kan använda en befintlig LDAP-användare som Kerberos-tjänstehuvud. Den här användaren måste dock ha ett lösenord som aldrig upphör att gälla. Se till att det här kontot inte används av någon användare eftersom applikationen använder detta konto som Kerberos-tjänstens principal och motsvarande tangenttab för att få en kerberos-biljett.

All autentisering i Kerberos sker mellan klienter och servrar. Därför kallas varje enhet som tar emot en tjänstebiljett för en Kerberos-tjänst som en "Kerberos-klient" i Kerberos terminologi. Användare anses ofta vara kunder, men vilken som helst kan vara en.
Nyckeldistributionscentret, eller KDC för kort, kallas vanligtvis en "Kerberos-server". Både Authentication Service (AS) och Ticket Granting Service (TGS) implementeras av KDC. Varje lösenord som är kopplat till varje huvudman lagras i KDC. På grund av detta är det viktigt att KDC är så säkert som möjligt.
Frasen "applikationsserver" syftar ofta på Kerberiserad programvara som klienter använder för att interagera medan de autentiseras med Kerberos-biljetter. Ett exempel på en applikationsserver är Kerberos telnet-demon.

Detta händer när NTLM-protokollet används för autentisering istället för Kerberos.
Detta kan uppstå på grund av flera orsaker:

  • Kontrollera om du använder en domänansluten dator för att komma åt webbplatsen.
  • Se till att tiden är synkroniserad mellan LDAP-servern och webbservern.
  • Bekräfta om dina webbläsarinställningar och internetalternativ är konfigurerade för Kerberos SSO.
  • Om du fortfarande har det här problemet, kontakta oss gärna.



ADFS_sso ×
Hej där!

Behövs hjälp? Vi är här!

stödja