5.3.8. Kerberos 사용 웹 애플리케이션에서 신뢰 사용
기존 웹 애플리케이션은 신뢰할 수 있는 ActiveActive Directory illustrated;Directory 및 IdM Kerberos 영역을 참조하는 Kerberos 인증을 사용하도록 구성할 수 있습니다. 전체 Kerberos 구성 지시문은 mod_auth_kerb 모듈의 구성 페이지를 참조하십시오.
참고
Apache 애플리케이션 구성을 변경한 후 Apache 서비스를 다시 시작합니다.
[root@ipaserver ~]# systemctl restart httpd.service
예를 들어 Apache 서버의 경우 Apache 서버가 IdM Kerberos 영역에 연결하는 방법을 정의하는 몇 가지 옵션이 있습니다.
KrbAuthRealmsKrbAuthRealms옵션은 IdM 도메인 이름에 애플리케이션 위치를 제공합니다. 필수 항목입니다.Krb5KeytabKrb5Keytab옵션은 IdM 서버 키탭의 위치를 제공합니다. 필수 항목입니다.KrbServiceNameKrbServiceName옵션은 키탭(HTTP)에 사용되는 Kerberos 서비스 이름을 설정합니다. 이 것이 권장됩니다.KrbMethodK5PasswdandKrbMethodNegotiateKrbMethodK5PasswdKerberos 메서드 옵션을 사용하면 유효한 사용자에 대해 암호 기반 인증을 사용할 수 있습니다.KrbMethodNegotiate옵션은 유효한 Kerberos 티켓을 사용할 수 있는 경우 SSO(Single Sign-On)를 활성화합니다.이러한 옵션은 많은 사용자에게 쉽게 사용할 수 있도록 권장됩니다.KrbLocalUserMappingKrbLocalUserMapping옵션을 사용하면 일반 웹 로그인(일반적으로 계정의 UID 또는 일반 이름)을 정규화된 사용자 이름 (형식의 형식)에 매핑할 수 있습니다.이 옵션은 강력히 권장됩니다. 도메인 이름/로그인 이름 매핑이 없으면 웹 로그인이 도메인 사용자와 다른 사용자 계정인 것으로 나타납니다. 즉 사용자가 예상된 데이터를 볼 수 없습니다.지원되는 사용자 이름 형식에 대한 자세한 내용은 5.2.1.9절. “지원되는 사용자 이름 형식” 을 참조하십시오.
예 5.1. Apache 웹 애플리케이션의 Kerberos 구성
<Location "/mywebapp"> AuthType Kerberos AuthName "IPA Kerberos authentication" KrbMethodNegotiate on KrbMethodK5Passwd on KrbServiceName HTTPKrbAuthRealms IDM_DOMAINKrb5Keytab /etc/httpd/conf/ipa.keytabKrbLocalUserMapping onKrbSaveCredentials off Require valid-user </Location>
