主页
产品
Red Hat Enterprise Linux
8
部署不同类型的服务器
1.8. 为 Apache HTTP web 服务器配置 Kerberos 验证

1.8. 为 Apache HTTP web 服务器配置 Kerberos 验证

要在 Apache HTTP web 服务器中执行 Kerberos 身份验证，RHEL 8 使用 mod_auth_gssapi Apache 模块。Generic Security Services API(GSSAPI)是请求使用安全库（如 Kerberos）的应用程序的接口。gssproxy 服务允许对 httpd 服务器实施特权分离，从安全的角度来看，这优化了此过程。

注意

mod_auth_gssapi 模块取代了已删除的 mod_auth_kerb 模块。

先决条件

httpd 和 gssproxy 软件包已经安装。
Apache Web 服务器已设置，并且 httpd 服务在运行。

1.8.1. 在 IdM 环境中设置 GSS-Proxy
复制链接

这个流程描述了如何设置 GSS-Proxy ，以便在 Apache HTTP Web 服务器中执行 Kerberos 身份验证。

流程

通过创建服务主体来启用对 HTTP/<SERVER_NAME>@realm 主体的keytab文件的访问：
```
ipa service-add HTTP/<SERVER_NAME>
```
```
# ipa service-add HTTP/<SERVER_NAME>
```
Copy to Clipboard Toggle word wrap

检索存储在/etc/gssproxy/http.keytab文件中的主体的keytab：

ipa-getkeytab -s $(awk '/^server =/ {print $3}' /etc/ipa/default.conf) -k /etc/gssproxy/http.keytab -p HTTP/$(hostname -f)

# ipa-getkeytab -s $(awk '/^server =/ {print $3}' /etc/ipa/default.conf) -k /etc/gssproxy/http.keytab -p HTTP/$(hostname -f)

Copy to Clipboard

Toggle word wrap

此步骤将权限设置为 400，因此只有 root 用户有访问 keytab 文件的权限。apache 用户无法访问。

使用以下内容创建 /etc/gssproxy/80-httpd.conf 文件：

[service/HTTP]
  mechs = krb5
  cred_store = keytab:/etc/gssproxy/http.keytab
  cred_store = ccache:/var/lib/gssproxy/clients/krb5cc_%U
  euid = apache

[service/HTTP]
  mechs = krb5
  cred_store = keytab:/etc/gssproxy/http.keytab
  cred_store = ccache:/var/lib/gssproxy/clients/krb5cc_%U
  euid = apache

Copy to Clipboard

Toggle word wrap

重启并启用 gssproxy 服务：

systemctl restart gssproxy.service
systemctl enable gssproxy.service

# systemctl restart gssproxy.service
# systemctl enable gssproxy.service

Copy to Clipboard

Toggle word wrap

1.8.2. 为 Apache HTTP Web 服务器共享的目录配置 Kerberos 身份验证
复制链接

这个过程描述了如何为 /var/www/html/private/ 目录配置 Kerberos 身份验证。

先决条件

gssproxy 服务已配置并在运行。

流程

配置 mod_auth_gssapi模块来保护 /var/www/html/private/目录：

<Location /var/www/html/private>
  AuthType GSSAPI
  AuthName "GSSAPI Login"
  Require valid-user
</Location>

<Location /var/www/html/private>
  AuthType GSSAPI
  AuthName "GSSAPI Login"
  Require valid-user
</Location>

Copy to Clipboard

Toggle word wrap

创建系统单元配置置入文件：
```
systemctl edit httpd.service
```
```
# systemctl edit httpd.service
```
Copy to Clipboard Toggle word wrap
在系统置入文件中添加以下参数：
```
[Service]
Environment=GSS_USE_PROXY=1
```
```
[Service]
Environment=GSS_USE_PROXY=1
```
Copy to Clipboard Toggle word wrap
重新载入 systemd 配置：
```
systemctl daemon-reload
```
```
# systemctl daemon-reload
```
Copy to Clipboard Toggle word wrap
重启 httpd 服务：
```
systemctl restart httpd.service
```
```
# systemctl restart httpd.service
```
Copy to Clipboard Toggle word wrap

验证

获取 Kerberos 票据：
```
kinit
```
```
# kinit
```
Copy to Clipboard Toggle word wrap
在浏览器中打开到受保护目录的URL。

返回顶部

1.8. 为 Apache HTTP web 服务器配置 Kerberos 验证

1.8.1. 在 IdM 环境中设置 GSS-Proxy
复制链接

1.8.2. 为 Apache HTTP Web 服务器共享的目录配置 Kerberos 身份验证
复制链接

学习

尝试、购买和销售

社区

关于红帽文档

让开源更具包容性

關於紅帽

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

1.8. 为 Apache HTTP web 服务器配置 Kerberos 验证

1.8.1. 在 IdM 环境中设置 GSS-Proxy复制链接链接已复制到粘贴板!

1.8.2. 为 Apache HTTP Web 服务器共享的目录配置 Kerberos 身份验证复制链接链接已复制到粘贴板!

学习

尝试、购买和销售

社区

关于红帽文档

让开源更具包容性

關於紅帽

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

1.8.1. 在 IdM 环境中设置 GSS-Proxy
复制链接

1.8.2. 为 Apache HTTP Web 服务器共享的目录配置 Kerberos 身份验证
复制链接