Rechercher
SupportConsoleDéveloppeursCommencer un essaiContact

1.7. Configuration de l'authentification Kerberos pour le serveur web Apache HTTP

download PDF

Pour effectuer l'authentification Kerberos dans le serveur web HTTP Apache, RHEL 9 utilise le module Apache mod_auth_gssapi. Le Generic Security Services API (GSSAPI) est une interface pour les applications qui demandent à utiliser des bibliothèques de sécurité, telles que Kerberos. Le service gssproxy permet de mettre en œuvre la séparation des privilèges pour le serveur httpd, ce qui optimise ce processus du point de vue de la sécurité.

Note

Le module mod_auth_gssapi remplace le module mod_auth_kerb qui a été retiré.

Conditions préalables

  • Les httpd, mod_auth_gssapi et gssproxy sont installés.
  • Le serveur web Apache est installé et le service httpd est en cours d'exécution.

1.7.1. Mise en place de GSS-Proxy dans un environnement IdM

Cette procédure décrit comment configurer GSS-Proxy pour effectuer l'authentification Kerberos dans le serveur web Apache HTTP.

Procédure

  1. Autoriser l'accès au fichier keytab du principal HTTP/<SERVER_NAME>@realm en créant le principal de service : 

    # ipa service-add HTTP/<SERVER_NAME>

  2. Récupérer le site keytab pour le mandant stocké dans le fichier /etc/gssproxy/http.keytab: 

    # ipa-getkeytab -s $(awk '/^server =/ {print $3}' /etc/ipa/default.conf) -k /etc/gssproxy/http.keytab -p HTTP/$(hostname -f)

    Cette étape définit les autorisations à 400, de sorte que seul l'utilisateur root a accès au fichier keytab. L'utilisateur apache n'y a pas accès.

  3. Créez le fichier /etc/gssproxy/80-httpd.conf avec le contenu suivant : 

    [service/HTTP]
  mechs = krb5
  cred_store = keytab:/etc/gssproxy/http.keytab
  cred_store = ccache:/var/lib/gssproxy/clients/krb5cc_%U
  euid = apache

  4. Redémarrez et activez le service gssproxy: 

    # systemctl restart gssproxy.service
# systemctl enable gssproxy.service

Ressources supplémentaires

  • gssproxy(8) pages de manuel
  • gssproxy-mech(8) pages de manuel
  • gssproxy.conf(5) pages de manuel

1.7.2. Configuration de l'authentification Kerberos pour un répertoire partagé par le serveur web Apache HTTP

Cette procédure décrit comment configurer l'authentification Kerberos pour le répertoire /var/www/html/private/.

Conditions préalables

  • Le service gssproxy est configuré et fonctionne.

Procédure

  1. Configurer le module mod_auth_gssapi pour protéger le répertoire /var/www/html/private/: 

    <Location /var/www/html/private>
  AuthType GSSAPI
  AuthName "GSSAPI Login"
  Require valid-user
</Location>

  2. Créez le fichier /etc/systemd/system/httpd.service avec le contenu suivant : 

    .include /lib/systemd/system/httpd.service
[Service]
Environment=GSS_USE_PROXY=1

  3. Recharger la configuration de systemd: 

    # systemctl daemon-reload

  4. Redémarrez le service httpd: 

    # systemctl restart httpd.service

Verification steps

  1. Obtenir un ticket Kerberos : 

    # kinit
  2. Ouvrez l'URL du répertoire protégé dans un navigateur.
Red Hat logoGithubRedditYoutubeTwitter

Apprendre

Essayez, achetez et vendez

Communautés

À propos de la documentation Red Hat

Nous aidons les utilisateurs de Red Hat à innover et à atteindre leurs objectifs grâce à nos produits et services avec un contenu auquel ils peuvent faire confiance.

Rendre l’open source plus inclusif

Red Hat s'engage à remplacer le langage problématique dans notre code, notre documentation et nos propriétés Web. Pour plus de détails, consultez leBlog Red Hat.

À propos de Red Hat

Nous proposons des solutions renforcées qui facilitent le travail des entreprises sur plusieurs plates-formes et environnements, du centre de données central à la périphérie du réseau.

© 2024 Red Hat, Inc.