홈
제품
Red Hat Enterprise Linux
8
다양한 유형의 서버 배포
1.8. Apache HTTP 웹 서버에 대한 Kerberos 인증 구성

1.8. Apache HTTP 웹 서버에 대한 Kerberos 인증 구성

Apache HTTP 웹 서버에서 Kerberos 인증을 수행하기 위해 RHEL 8에서는 mod_auth_gssapi Apache 모듈을 사용합니다. GSSAPI(Generic Security Services API)는 Kerberos와 같은 보안 라이브러리 사용을 요청하는 애플리케이션의 인터페이스입니다. gssproxy 서비스를 사용하면 httpd 서버에 대해 권한 분리를 구현하여 보안 관점에서 이 프로세스를 최적화할 수 있습니다.

참고

mod_auth_gssapi 모듈은 제거된 mod_auth_kerb 모듈을 대체합니다.

사전 요구 사항

httpd 및 gssproxy 패키지가 설치됩니다.
Apache 웹 서버가 설정되고 httpd 서비스가 실행 중입니다.

1.8.1. IdM 환경에서 GSS-Proxy 설정
링크 복사

다음 절차에서는 Apache HTTP 웹 서버에서 Kerberos 인증을 수행하기 위해 GSS-Proxy를 설정하는 방법을 설명합니다.

프로세스

서비스 주체를 생성하여 HTTP/<SERVER_NAME>@realm 주체의 keytab 파일에 대한 액세스를 활성화합니다.
```
ipa service-add HTTP/<SERVER_NAME>
```
```
# ipa service-add HTTP/<SERVER_NAME>
```
Copy to Clipboard Toggle word wrap
/etc/gssproxy/http.keytab 파일에 저장된 keytab 탭을 검색합니다.
```
ipa-getkeytab -s $(awk '/^server =/ {print $3}' /etc/ipa/default.conf) -k /etc/gssproxy/http.keytab -p HTTP/$(hostname -f)
```
```
# ipa-getkeytab -s $(awk '/^server =/ {print $3}' /etc/ipa/default.conf) -k /etc/gssproxy/http.keytab -p HTTP/$(hostname -f)
```
Copy to Clipboard Toggle word wrap
이 단계에서는 권한을 400으로 설정하면 root 사용자만 keytab 파일에 액세스할 수 있습니다. apache 사용자는 그렇지 않습니다.

다음 콘텐츠를 사용하여 /etc/gssproxy/80-httpd.conf 파일을 만듭니다.

[service/HTTP]
  mechs = krb5
  cred_store = keytab:/etc/gssproxy/http.keytab
  cred_store = ccache:/var/lib/gssproxy/clients/krb5cc_%U
  euid = apache

[service/HTTP]
  mechs = krb5
  cred_store = keytab:/etc/gssproxy/http.keytab
  cred_store = ccache:/var/lib/gssproxy/clients/krb5cc_%U
  euid = apache

Copy to Clipboard

Toggle word wrap

gssproxy 서비스를 재시작하고 활성화합니다.

systemctl restart gssproxy.service
systemctl enable gssproxy.service

# systemctl restart gssproxy.service
# systemctl enable gssproxy.service

Copy to Clipboard

Toggle word wrap

1.8.2. Apache HTTP 웹 서버에서 공유하는 디렉터리에 대한 Kerberos 인증 구성
링크 복사

다음 절차에서는 /var/www/html/private/ 디렉터리에 대한 Kerberos 인증을 구성하는 방법을 설명합니다.

사전 요구 사항

gssproxy 서비스가 구성되어 실행 중입니다.

프로세스

/var/www/html/private/ 디렉터리를 보호하도록 mod_auth_gssapi 모듈을 구성합니다.

<Location /var/www/html/private>
  AuthType GSSAPI
  AuthName "GSSAPI Login"
  Require valid-user
</Location>

<Location /var/www/html/private>
  AuthType GSSAPI
  AuthName "GSSAPI Login"
  Require valid-user
</Location>

Copy to Clipboard

Toggle word wrap

시스템 단위 구성 드롭인 파일을 생성합니다.
```
systemctl edit httpd.service
```
```
# systemctl edit httpd.service
```
Copy to Clipboard Toggle word wrap
시스템 드롭인 파일에 다음 매개변수를 추가합니다.
```
[Service]
Environment=GSS_USE_PROXY=1
```
```
[Service]
Environment=GSS_USE_PROXY=1
```
Copy to Clipboard Toggle word wrap
systemd 구성을 다시 로드합니다.
```
systemctl daemon-reload
```
```
# systemctl daemon-reload
```
Copy to Clipboard Toggle word wrap
httpd 서비스를 다시 시작합니다.
```
systemctl restart httpd.service
```
```
# systemctl restart httpd.service
```
Copy to Clipboard Toggle word wrap

검증

Kerberos 티켓을 받습니다.
```
kinit
```
```
# kinit
```
Copy to Clipboard Toggle word wrap
브라우저에서 보호된 디렉터리의 URL을 엽니다.

1.8. Apache HTTP 웹 서버에 대한 Kerberos 인증 구성

1.8.1. IdM 환경에서 GSS-Proxy 설정
링크 복사

1.8.2. Apache HTTP 웹 서버에서 공유하는 디렉터리에 대한 Kerberos 인증 구성
링크 복사

자세한 정보

평가판, 구매 및 판매

커뮤니티

Red Hat 문서 정보

보다 포괄적 수용을 위한 오픈 소스 용어 교체

Red Hat 소개

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

1.8. Apache HTTP 웹 서버에 대한 Kerberos 인증 구성

1.8.1. IdM 환경에서 GSS-Proxy 설정링크 복사링크가 클립보드에 복사되었습니다!

1.8.2. Apache HTTP 웹 서버에서 공유하는 디렉터리에 대한 Kerberos 인증 구성링크 복사링크가 클립보드에 복사되었습니다!

자세한 정보

평가판, 구매 및 판매

커뮤니티

Red Hat 문서 정보

보다 포괄적 수용을 위한 오픈 소스 용어 교체

Red Hat 소개

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

1.8.1. IdM 환경에서 GSS-Proxy 설정
링크 복사

1.8.2. Apache HTTP 웹 서버에서 공유하는 디렉터리에 대한 Kerberos 인증 구성
링크 복사