1.7. Apache HTTP Web サーバーの Kerberos 認証の設定

Apache HTTP Web サーバーで Kerberos 認証を実行するために、RHEL 9 は mod_auth_gssapi Apache モジュールを使用します。Generic Security Services API (GSSAPI) は、Kerberos などのセキュリティーライブラリーを使用する要求を行うアプリケーションのインターフェイスです。gssproxy サービスでは、httpd サーバーに特権の分離を実装できます。これにより、セキュリティーの観点からこのプロセスが最適化されます。

注記

削除した mod_auth_kerb モジュールは、mod_auth_gssapi モジュールに置き換わります。

前提条件

httpd、mod_auth_gssapi、および gssproxy パッケージがインストールされている。
Apache Web サーバーが設定され、httpd サービスが実行している。

1.7.1. IdM 環境で GSS-Proxy の設定
リンクのコピー

この手順では、Apache HTTP Web サーバーで Kerberos 認証を実行するように GSS-Proxy を設定する方法を説明します。

手順

サービスプリンシパルを作成し、HTTP/<SERVER_NAME>@realm プリンシパルの keytab ファイルへのアクセスを有効にします。
```
ipa service-add HTTP/<SERVER_NAME>
```
```
# ipa service-add HTTP/<SERVER_NAME>
```
Copy to Clipboard Toggle word wrap
/etc/gssproxy/http.keytab ファイルに保存されているプリンシパルの keytab を取得します。
```
ipa-getkeytab -s $(awk '/^server =/ {print $3}' /etc/ipa/default.conf) -k /etc/gssproxy/http.keytab -p HTTP/$(hostname -f)
```
```
# ipa-getkeytab -s $(awk '/^server =/ {print $3}' /etc/ipa/default.conf) -k /etc/gssproxy/http.keytab -p HTTP/$(hostname -f)
```
Copy to Clipboard Toggle word wrap
このステップでは、パーミッションを 400 に設定すると、root ユーザーのみが keytab ファイルにアクセスできます。apache ユーザーは異なります。

以下の内容で /etc/gssproxy/80-httpd.conf ファイルを作成します。

[service/HTTP]
  mechs = krb5
  cred_store = keytab:/etc/gssproxy/http.keytab
  cred_store = ccache:/var/lib/gssproxy/clients/krb5cc_%U
  euid = apache

[service/HTTP]
  mechs = krb5
  cred_store = keytab:/etc/gssproxy/http.keytab
  cred_store = ccache:/var/lib/gssproxy/clients/krb5cc_%U
  euid = apache

Copy to Clipboard

Toggle word wrap

gssproxy サービスを再起動して、有効にします。

systemctl restart gssproxy.service
systemctl enable gssproxy.service

# systemctl restart gssproxy.service
# systemctl enable gssproxy.service

Copy to Clipboard

Toggle word wrap

1.7.2. Apache HTTP Web サーバーが共有するディレクトリーに Kerberos 認証の設定
リンクのコピー

この手順では、/var/www/html/private/ ディレクトリーに Kerberos 認証を設定する方法を説明します。

前提条件

gssproxy サービスが設定され、実行されている。

手順

/var/www/html/private/ ディレクトリーを保護するように mod_auth_gssapi を設定します。

<Location /var/www/html/private>
  AuthType GSSAPI
  AuthName "GSSAPI Login"
  Require valid-user
</Location>

<Location /var/www/html/private>
  AuthType GSSAPI
  AuthName "GSSAPI Login"
  Require valid-user
</Location>

Copy to Clipboard

Toggle word wrap

システムユニット設定のドロップインファイルを作成します。
```
systemctl edit httpd.service
```
```
# systemctl edit httpd.service
```
Copy to Clipboard Toggle word wrap
次のパラメーターをシステムのドロップインファイルに追加します。
```
[Service]
Environment=GSS_USE_PROXY=1
```
```
[Service]
Environment=GSS_USE_PROXY=1
```
Copy to Clipboard Toggle word wrap
systemd 設定をリロードします。
```
systemctl daemon-reload
```
```
# systemctl daemon-reload
```
Copy to Clipboard Toggle word wrap
httpd サービスを再起動します。
```
systemctl restart httpd.service
```
```
# systemctl restart httpd.service
```
Copy to Clipboard Toggle word wrap

検証

Kerberos チケットを取得します。
```
kinit
```
```
# kinit
```
Copy to Clipboard Toggle word wrap
ブラウザーで、保護されているディレクトリーの URL を開きます。

1.7. Apache HTTP Web サーバーの Kerberos 認証の設定

1.7.1. IdM 環境で GSS-Proxy の設定
リンクのコピー

1.7.2. Apache HTTP Web サーバーが共有するディレクトリーに Kerberos 認証の設定
リンクのコピー

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

多様性を受け入れるオープンソースの強化

会社概要

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

1.7. Apache HTTP Web サーバーの Kerberos 認証の設定

1.7.1. IdM 環境で GSS-Proxy の設定リンクのコピーリンクがクリップボードにコピーされました!

1.7.2. Apache HTTP Web サーバーが共有するディレクトリーに Kerberos 認証の設定リンクのコピーリンクがクリップボードにコピーされました!

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

多様性を受け入れるオープンソースの強化

会社概要

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

1.7.1. IdM 環境で GSS-Proxy の設定
リンクのコピー

1.7.2. Apache HTTP Web サーバーが共有するディレクトリーに Kerberos 認証の設定
リンクのコピー