Apache -用Kerberos (mod_auth_kerb)替换Apache::AuthenNTLM

Question

在Solaris上的intranet系统中，我们目前使用perls Apache2 2：：AuthenNTLM模块使用Win 2k3 doman服务器进行身份验证，因此我们可以访问浏览站点的人的用户ID。

为了赢得2012年的广告服务器，我们被告知这将不支持NTLM，微软现在也不支持NTLM。对于这个软用例，国防部-奥斯路伯是一个合适的替代品吗？

我搜索过google，找不到一篇轻松的文章或教程，说明mod-auth-kerb正在以这种方式使用。我在开始的时候遇到了困难，可以在正确的方向上找到一个点。

谢谢

Answer 1

您需要让Active Directory管理员为您的intranet服务器创建一个包含Kerberos服务原则的服务帐户。SPN或SPN的外观应该类似于<service>/<hostname>，并包含用户用于访问您的intranet网站的所有主机名和/或DNS别名，如下所示：

http/solarishost.int.example.com
http/solarishost
http/intranet.example.com

您的Active Directory管理员可以将提取SPN's放到keytab文件中，您需要将该文件复制到Solaris主机并在Apache中进行配置。注意: http/hostname SPN也用于HTTPS。

在Solaris上，您将需要MIT Kerberos 5工具和库，下载并安装Apache模块，然后对其进行配置。

通常，您将编辑全局Kerberos配置文件/etc/krb5/krb5.conf来设置默认的mod-auth-kerb，重要的通常只有领域的名称，通常是Windows域、DNS域和KDC服务器-通常是AD管理员告诉您使用的域控制器。

Apache配置如下所示：

<Location /intranet>
 AuthType           Kerberos
 AuthName           "intranet"
 KrbMethodNegotiate on
 KrbAuthoritative   on
 KrbVerifyKDC       on
 KrbAuthRealm       YOUR_ACTIVEDIRECTORY_DOMAIN
 Krb5Keytab         /etc/httpd/intranet.keytab
 KrbSaveCredentials off
 Require            valid-user
</Location>

对Kerberos和Microsoft的一些理解是有帮助的，因为对于不熟悉的人来说，调试可能是很棘手的。哦，和Kerberos，确保你的时钟是同步的。