在Ubuntu上使用Apache2切换到Kerberos身份validation(LDAP或AD)

我正在考虑将我的Intranet应用程序切换到Kerberos身份validation(目前NTLM,但所需的模块不再维护,一旦Web服务器更新到最新版本(Ubuntu),将不再工作)。

我完全陌生,而且我不直接在我的公司IT部门。 这是一个庞大的公司,处理IT是PITA。 所以我的问题也围绕这个事实,如果我需要IT做一些事情让我做这个工作。

我可以使用klist在我公司的笔记本电脑上看到我有3张票:

krbtgt/[email protected]

ldap/[email protected]

最后一个是我的笔记本电脑(例如服务器=我的笔记本电脑)

我已经有一个通用的LDAP用户查询LDAP授权。

我的问题是,如果我可以configuration我的Web服务器重用现有的LDAPauthentication? 如果是的话,我会怎么做?

您不能在httpd中共享LDAP / …票证进行身份validation。 即使在同一主机中,也不能共享密钥表文件,因为它必须为HTTP / … principal提供凭证。 在httpd的mod_auth_kerb (名为KrbServiceName )中有一个选项来“重命名”使用的主体,但我没有尝试过,我怀疑它可以工作,因为客户端将尝试使用标准名称。

关于如何使用基于AD + Kerberos的单一loginconfigurationApache httpd,有许多howtos。 从阅读mod_auth_kerb手册开始。 需要记住的内容包括:匹配正向DNS的反向DNS条目,时间同步,/etc/ krb5.conf文件中的默认域名, ktpass命令中的KVNO 。 如果出现问题,请尝试(临时!)在Apacheconfiguration中KrbVerifyKDC offLogLevel debug