1.7. Configuration de l'authentification Kerberos pour le serveur web Apache HTTP
Pour effectuer l'authentification Kerberos dans le serveur web HTTP Apache, RHEL 9 utilise le module Apache mod_auth_gssapi
. Le Generic Security Services API (GSSAPI
) est une interface pour les applications qui demandent à utiliser des bibliothèques de sécurité, telles que Kerberos. Le service gssproxy
permet de mettre en œuvre la séparation des privilèges pour le serveur httpd
, ce qui optimise ce processus du point de vue de la sécurité.
Le module mod_auth_gssapi
remplace le module mod_auth_kerb
qui a été retiré.
Conditions préalables
-
Les
httpd
,mod_auth_gssapi
etgssproxy
sont installés. -
Le serveur web Apache est installé et le service
httpd
est en cours d'exécution.
1.7.1. Mise en place de GSS-Proxy dans un environnement IdM
Cette procédure décrit comment configurer GSS-Proxy
pour effectuer l'authentification Kerberos dans le serveur web Apache HTTP.
Procédure
Autoriser l'accès au fichier
keytab
du principal HTTP/<SERVER_NAME>@realm en créant le principal de service :# ipa service-add HTTP/<SERVER_NAME>
Récupérer le site
keytab
pour le mandant stocké dans le fichier/etc/gssproxy/http.keytab
:# ipa-getkeytab -s $(awk '/^server =/ {print $3}' /etc/ipa/default.conf) -k /etc/gssproxy/http.keytab -p HTTP/$(hostname -f)
Cette étape définit les autorisations à 400, de sorte que seul l'utilisateur
root
a accès au fichierkeytab
. L'utilisateurapache
n'y a pas accès.Créez le fichier
/etc/gssproxy/80-httpd.conf
avec le contenu suivant :[service/HTTP] mechs = krb5 cred_store = keytab:/etc/gssproxy/http.keytab cred_store = ccache:/var/lib/gssproxy/clients/krb5cc_%U euid = apache
Redémarrez et activez le service
gssproxy
:# systemctl restart gssproxy.service # systemctl enable gssproxy.service
Ressources supplémentaires
-
gssproxy(8)
pages de manuel -
gssproxy-mech(8)
pages de manuel -
gssproxy.conf(5)
pages de manuel