主页
产品
Red Hat Enterprise Linux
7
Windows 集成指南
5.3.8. 使用启用了 Kerberos 的 Web 应用程序的信任

5.3.8. 使用启用了 Kerberos 的 Web 应用程序的信任

任何现有的 Web 应用程序都可配置为使用 Kerberos 身份验证，该身份验证引用可信 ActiveActive Directorynbsp;Directory 和 IdM Kerberos 域。有关完整的 Kerberos 配置指令，请参阅 mod_auth_kerb 模块的配置页面。

注意

更改 Apache 应用程序配置后，重启 Apache 服务：

systemctl restart httpd.service

[root@ipaserver ~]# systemctl restart httpd.service

Copy to Clipboard

Toggle word wrap

例如，对于 Apache 服务器，有几个选项可定义 Apache 服务器如何连接到 IdM Kerberos 域：

KrbAuthRealms: KrbAuthRealms 选项为 IdM 域的名称提供应用程序位置。这是必需的。
Krb5Keytab: Krb5Keytab 选项提供 IdM 服务器 keytab 的位置。这是必需的。
KrbServiceName: KrbServiceName 选项设置用于 keytab(HTTP)的 Kerberos 服务名称。这是推荐的。
KrbMethodK5Passwd 和 KrbMethodNegotiate: KrbMethodK5Passwd Kerberos 方法选项为有效用户启用基于密码的身份验证。如果有一个有效的 Kerberos ticket 可用，该 KrbMethodNegotiate 选项启用单点登录(SSO)。
建议为许多用户使用这些选项。
KrbLocalUserMapping: KrbLocalUserMapping 选项允许常规 Web 登录（通常是帐户的 UID 或通用名称）映射到完全限定的用户名（其格式为 user@REALM.COM）。
强烈建议使用这个选项。如果没有域名/登录名映射，Web 登录似乎与域用户不同。这意味着用户无法查看其预期数据。
有关支持的用户名格式的详情请参考第 5.2.1.9 节 “支持的用户名格式”。

例 5.1. Apache Web 应用程序中的 Kerberos 配置

<Location "/mywebapp">
   AuthType Kerberos
   AuthName "IPA Kerberos authentication"
   KrbMethodNegotiate on
   KrbMethodK5Passwd on
   KrbServiceName HTTP
   KrbAuthRealms IDM_DOMAIN
   Krb5Keytab /etc/httpd/conf/ipa.keytab
   KrbLocalUserMapping on
   KrbSaveCredentials off
   Require valid-user
</Location>

<Location "/mywebapp">
   AuthType Kerberos
   AuthName "IPA Kerberos authentication"
   KrbMethodNegotiate on
   KrbMethodK5Passwd on
   KrbServiceName HTTP
   KrbAuthRealms IDM_DOMAIN
   Krb5Keytab /etc/httpd/conf/ipa.keytab
   KrbLocalUserMapping on
   KrbSaveCredentials off
   Require valid-user
</Location>

Copy to Clipboard

Toggle word wrap

返回顶部

5.3.8. 使用启用了 Kerberos 的 Web 应用程序的信任

学习

尝试、购买和销售

社区

关于红帽文档

让开源更具包容性

關於紅帽

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links