5.3.8. 使用启用了 Kerberos 的 Web 应用程序的信任
任何现有的 Web 应用程序都可配置为使用 Kerberos 身份验证,该身份验证引用可信 ActiveActive Directorynbsp;Directory 和 IdM Kerberos 域。有关完整的 Kerberos 配置指令,请参阅 mod_auth_kerb 模块的配置页面。
注意
更改 Apache 应用程序配置后,重启 Apache 服务:
[root@ipaserver ~]# systemctl restart httpd.service
例如,对于 Apache 服务器,有几个选项可定义 Apache 服务器如何连接到 IdM Kerberos 域:
KrbAuthRealmsKrbAuthRealms选项为 IdM 域的名称提供应用程序位置。这是必需的。Krb5KeytabKrb5Keytab选项提供 IdM 服务器 keytab 的位置。这是必需的。KrbServiceNameKrbServiceName选项设置用于 keytab(HTTP)的 Kerberos 服务名称。这是推荐的。KrbMethodK5Passwd和KrbMethodNegotiateKrbMethodK5PasswdKerberos 方法选项为有效用户启用基于密码的身份验证。如果有一个有效的 Kerberos ticket 可用,该KrbMethodNegotiate选项启用单点登录(SSO)。建议为许多用户使用这些选项。KrbLocalUserMappingKrbLocalUserMapping选项允许常规 Web 登录(通常是帐户的 UID 或通用名称)映射到完全限定的用户名(其格式为 user@REALM.COM)。强烈建议使用这个选项。如果没有域名/登录名映射,Web 登录似乎与域用户不同。这意味着用户无法查看其预期数据。有关支持的用户名格式的详情请参考 第 5.2.1.9 节 “支持的用户名格式”。
例 5.1. Apache Web 应用程序中的 Kerberos 配置
<Location "/mywebapp"> AuthType Kerberos AuthName "IPA Kerberos authentication" KrbMethodNegotiate on KrbMethodK5Passwd on KrbServiceName HTTPKrbAuthRealms IDM_DOMAINKrb5Keytab /etc/httpd/conf/ipa.keytabKrbLocalUserMapping onKrbSaveCredentials off Require valid-user </Location>
