13.3.3. GSS-proxy を使用した直接 AD 統合の設定
Satellite CLI で、GSS-proxy を使用する直接 Active Directory 統合を設定します。
前提条件
Satellite が、Active Directory サーバーに登録されていること。
詳細は、「Satellite Server の AD サーバーへの登録」 を参照してください。
手順
/etc/ipa/ディレクトリーとdefault.confファイルを作成します。# mkdir /etc/ipa # touch /etc/ipa/default.conf
default.confファイルに以下のコンテンツを追加します。[global] server = unused realm = EXAMPLE.ORG以下の内容で
/etc/net-keytab.confファイルを作成します。[global] workgroup = EXAMPLE realm = EXAMPLE.ORG kerberos method = system keytab security = ads
Apache ユーザーの有効なユーザー ID を特定します。
# id apache
Apache ユーザーには keytab ファイルへのアクセス権を割り当てないでください。
以下の内容で
/etc/gssproxy/00-http.confファイルを作成します。[service/HTTP] mechs = krb5 cred_store = keytab:/etc/krb5.keytab cred_store = ccache:/var/lib/gssproxy/clients/krb5cc_%U euid = ID_of_Apache_Userkeytab エントリーを作成します。
# KRB5_KTNAME=FILE:/etc/httpd/conf/http.keytab net ads keytab add HTTP -U administrator -d3 -s /etc/net-keytab.conf # chown root.apache /etc/httpd/conf/http.keytab # chmod 640 /etc/httpd/conf/http.keytab
Satellite の IPA 認証を有効にします。
# satellite-installer --foreman-ipa-authentication=true
gssproxyサービスを起動して、有効にします。# systemctl restart gssproxy.service # systemctl enable gssproxy.service
Apache サーバーが gssproxy サービスを使用するように設定します。
以下の内容で
/etc/systemd/system/httpd.serviceファイルを作成します。.include /lib/systemd/system/httpd.service [Service] Environment=GSS_USE_PROXY=1
変更をサービスに適用します。
# systemctl daemon-reload
httpdサービスを起動して、有効にします。# systemctl restart httpd.service
SSO が想定どおりに動作していることを確認します。
Apache サーバーが実行中であり、クライアントに有効な Kerberos チケットがある場合、サーバーに対して HTTP 要求を行うユーザーは認証されます。
次のコマンドを使用して、LDAP ユーザーの Kerberos チケットを取得します。
# kinit ldapuser
以下のコマンドを使用して、Kerberos チケットを表示します。
# klist
以下のコマンドを使用して、SSO 認証に成功時の出力を表示します。
# curl -k -u : --negotiate https://satellite.example.com/users/extloginこれにより、以下の応答が返されます。
<html><body>You are being <a href="https://satellite.example.com/users/4-ldapuserexample-com/edit">redirected</a>.</body></html>
