Оглавление |
---|
Информация | ||
---|---|---|
| ||
|
Аннотация
Для работы web-сервера в составе домена с использованием для аутентификации доменной службы (ALD или FreeIPA):
- Компьютер должен быть зарегистрирован в домене;
- Служба web-сервера должна быть зарегистрирована в домене;
Установка пакетов
Служба web-сервера apache2 представлена в Astra Linux пакетом apache2. При установке ОС пакет по умолчанию не устанавливается, но может быть быть установлен при выборе программного обеспечения во время установки ОС.
Информация | |||||
---|---|---|---|---|---|
Только для Astra Linux Special Edition:
|
Для использования аутентификации Kerberos дополнительно установить пакет libapache2-mod-auth-kerb, содержащий модуль аутентификации auth_kerb:
Command |
---|
sudo apt install libapache2-mod-auth-kerb |
Информация |
---|
При установке контроллера (реплики контроллера) домена FreeIPA служба apache2 будет установлена и настроена автоматически, однако настройка аутентификации Kerberos при этом не производится. |
Настройка конфигурации apache2
В конфигурационных файлах web-сайтов, доступ к которым предоставляется службой apache2, должны быть заданы параметры авторизации. Например, создадим файл /etc/apache2/sites-available/auth-kerberos.conf со следующим содержимым:
Блок кода |
---|
<VirtualHost *:80>81> ServerAdmin webmaster@localhost DocumentRoot /var/www ErrorLog ${APACHE_LOG_DIR}/error.log CustomLog ${APACHE_LOG_DIR}/access.log combined <Directory /var/www> AuthType Kerberos # Имя области реалма(realm) Керберос - имя домена ЗАГЛАВНЫМИ буквами KrbAuthRealms <РЕАЛМ_КЕРБЕРОС> # Полное доменное имя сервераИмя доменной службы, предоставляемой сервером KrbServiceName HTTP/<полное_доменное_имя_сервера> # Имя файла, в котором сохранены ключи доменной службы Krb5Keytab /etc/apache2/keytab KrbMethodNegotiate on KrbMethodK5Passwd off require valid-user KrbSaveCredentials on </Directory> </VirtualHost> |
Полное описание параметоров
Разрешить использование созданного конфигурационного файла для предоставления доступа к web-сайту:
Command |
---|
sudo a2ensite auth-kerberos |
sudo mkdir /var/www/html/auth-kerberos
/var/www/html/auth-kerberos/index.html
<html> <body> <div style="width: 100%; font-size: 40px; font-weight: bold; text-align: center;"> Test Page for Kerberos Auth </div> </body> </html>
После изменения конфигурации перезапустить службу apache2:
Command | ||
---|---|---|
| ||
sudo systemctl restart apache2 |
Настройка аутентификации Kerberos в домене FreeIPA
kinit admin
ipa service-add HTTP/web.ipadomain0.ru
sudo kinit admin
sudo ipa-getkeytab -s ipa0.ipadomain0.ru -k /etc/apache2/keytab -p HTTP/`hostname`
sudo chown www-data:www-data /etc/apache2/keytab
Настройка аутентификации Kerberos в домене ALD
Подсказка | ||
---|---|---|
| ||
keytab="/etc/apache2/keytab" |
Подсказка | ||
---|---|---|
| ||
systemctl restart apache2 |