使用 apache 和 sssd 配置 kerberos/ntlm 單點登錄

在 CentOS7 執行 sssd 連接到 Active Directory 域控制器的情況下，設置 apache 以支持使用 NTLM 或最好是 Kerberos 的 SSO 的正確/最乾淨的方法是什麼？

使用realmd，現在加入域真的很容易，但是我無法讓apache在一個晚上工作。到目前為止，Google似乎還沒有很好地提供關於這個主題的答案。

我已經使用 gssapi 和 putty 讓 SSO 與 SSH 一起工作。realm join --user=admin@domain.fqdn --computer-ou=OU=Servers執行全新安裝的 CentOS 7並將 default_domain_suffix 添加到 sssd.conf後，我所做的一切。

你需要：

1. 在 FreeIPA 中創建 HTTP/hostname.fqdn@REALM.TEST 服務
2. 使用 ipa-getkeytab 在 Web 伺服器上下載 HTTP 服務 keytab 並使其可供（僅）apache 訪問
3. 配置 apache 和 mod_auth_kerb 以使用 Kerberos 保護某些 URI

請參閱此範例或此範例。有關您的 Web 服務和 SSSD 之間更高級的集成，請查看FreeIPA.org 上的 Web_App_Authentication 文章。

引用自：https://serverfault.com/questions/641878