使用apache和sssd配置kerberos/ntlm单点登录

Question

在CentOS7运行sssd连接到Active域控制器的情况下，使用NTLM或更好的Kerberos设置apache以支持SSO的最恰当/最干净的方法是什么？

使用realmd，现在加入域是非常容易的，但我无法让apache在晚上工作。到目前为止，谷歌似乎还没有很好地找到这个话题的答案。

我已经让SSO与SSH一起使用gssapi和putty。在重新安装CentOS 7之后，我所做的就是运行realm join --user=admin@domain.fqdn --computer-ou=OU=Servers并将default_domain_suffix添加到sssd.conf中。

Answer 1

你需要：

1. 在FreeIPA中创建一个HTTP/hostname.fqdn@REALM.TEST服务
2. 使用ipa-getkeytab下载web服务器上的HTTP服务keytab，并使apache能够访问它。
3. 配置apache和mod_auth_kerb以使用Kerberos保护某些URI

见这个例子或这个例子。有关您的Web服务和SSSD之间的更高级集成，请查看网站_应用程序_基于FreeIPA.org的认证文章。