Ctrl+K
Ctrl+K
Ctrl+K

Настройка Kerberos аутентификации (GSS)

Настройка Kerberos аутентификации (GSS)#

Исходные данные#

Имеется сервер контроллера домена FreeIPA:

  • имя домена astra.aaa

  • администратор домена admin@astra.aaa

  • пользователь домена user-01@astra.aaa

  • имя сервера dc-01.astra.aaa

Веб-сервер данных располагается отдельно:

  • имя сервера websrv-01.astra.aaa

  • сервер должен быть введен в домен

  • сервер имеет постоянный IP-адрес, например, 192.168.1.21

Настройка операционной системы#

Для настройки операционной системы необходимо перейти по ссылке и выполнить действия по инструкции:

Ввод в домен Freeipa#

Для ввода в домен необходимо перейти по ссылке и выполнить действия по инструкции:

Установка и настройка веб-сервера Apache2#

Для установки и настройки веб-сервера Apache2 необходимо:

Пункт 1#

  • установить пакет аpache2:

sudo apt install apache2

Пункт 2#

  • установить пакет, модуля аутентификации через Kerberos для службы apache2.

sudo apt install libapache2-mod-auth-gssapi

Предупреждение

Пакет libapache2-mod-auth-kerb удален из репозитория

Пункт 3#

  • в файле конфигурации apache2, находящемуся по пути /etc/apache2/apache2.conf, установить параметры:

Astra mode off
IncludeRealm on

Пункт 4#

  • включить в Apache2 следующие режимы:

sudo a2enmod proxy
sudo a2enmod proxy_http
sudo a2enmod headers

Пункт 5#

  • разместить, ране полученный, файл с таблицей ключей по пути /etc/apache2/websrv-01.keytab.

Пункт 6#

  • проверить таблицу ключей:

sudo kinit "HTTP/werbsrv-01.astra.aaa@ASTRA.AAA" -V -k -t /etc/apache2/websrv-01.keytab

  • сравнить вывод проверки ключей с ниже написанным кодом:

administrator@websrv-01:~$ kinit "HTTP/websrv-01.astra.aaa@ASTRA.AAA" -V -k -t /etc/apache2/http.keytab
Using default cache: persistent:1001:1001
Using principal: HTTP/websrv-01.astra.aaa@ASTRA.AAA
Using keytab: /etc/apache2/http.keytab
Authenticated to Kerberos v5

Пункт 7#

  • установить права доступа к файлу:

sudo chown www-data:www-data /etc/apache2/websrv-01.keytab
sudo chmod 600 /etc/apache2/websrv-01.keytab

Пункт 8#

  • в конфигурацию виртуального хоста virtualhost, в файле /etc/apache2/sites-available/000-default.conf внести изменения:

<VirtualHost *:80>
    ServerName webapp

    ProxyPass / http://localhost:8000/
    ProxyPassReverse / http://localhost:8000/

    <Location />
        AuthType GSSAPI
        AuthName "GSSAPI"
        GssApiBasicAuth On
        GssApiAllowedMech krb5
        GssApiBasicAuthMech krb5
        GssApiBasicTicketTimeout 18000
        GssapiCredStore keytab:/etc/apache2/websrv-01.keytab
        GssapiLocalName On
        GssapiDelegCcacheDir /gss_cache
        GssapiDelegCcacheUnique On
        Require valid-user

        RequestHeader set X_REMOTE_USER %{REMOTE_USER}e
        RequestHeader set X_KRB5CCNAME %{KRB5CCNAME}e

    </Location>

    LogLevel debug

    ErrorLog ${APACHE_LOG_DIR}/error.log
    CustomLog ${APACHE_LOG_DIR}/access.log combined

</VirtualHost>

Пункт 9#

  • в корне создать папку /gss_cache, и установить права доступа:

sudo chmod 644 /gss_cache

Пункт 10#

  • перезапустить службу apache2:

sudo systemctl restart apache2
Содержание