Apache-2.4
使用 apache 和 sssd 配置 kerberos/ntlm 單點登錄
在 CentOS7 執行 sssd 連接到 Active Directory 域控制器的情況下,設置 apache 以支持使用 NTLM 或最好是 Kerberos 的 SSO 的正確/最乾淨的方法是什麼?
使用realmd,現在加入域真的很容易,但是我無法讓apache在一個晚上工作。到目前為止,Google似乎還沒有很好地提供關於這個主題的答案。
我已經使用 gssapi 和 putty 讓 SSO 與 SSH 一起工作。
realm join --user=admin@domain.fqdn --computer-ou=OU=Servers
執行全新安裝的 CentOS 7並將 default_domain_suffix 添加到 sssd.conf後,我所做的一切。
你需要:
- 在 FreeIPA 中創建 HTTP/hostname.fqdn@REALM.TEST 服務
- 使用 ipa-getkeytab 在 Web 伺服器上下載 HTTP 服務 keytab 並使其可供(僅)apache 訪問
- 配置 apache 和 mod_auth_kerb 以使用 Kerberos 保護某些 URI
請參閱此範例或此範例。有關您的 Web 服務和 SSSD 之間更高級的集成,請查看FreeIPA.org 上的 Web_App_Authentication 文章。