...
В каталоге /etc/apache2/sites-available
должны находиться файлы с настройками виртуальных хостов и как минимум один из них должен быть разрешен к использованию командой:
панель |
---|
borderColor | #c2e6ff |
---|
bgColor | #e2f3ff |
---|
|
code |
a2ensite config_filename |
Минимальное содержимое таких файлов с конфигурациями виртуальных хостов выглядит следующим образом:
...
После окончания правки конфигурационных файлов необходимо перезапустить сервер командой:
панель |
---|
borderColor | #c2e6ff |
---|
bgColor | #e2f3ff |
---|
|
code |
/etc/init.d/apache2 restart |
Предупреждение |
---|
|
Для обеспечения нормальной работы пользователя с сетевыми сервисами должны быть явно заданы диапазоны его мандатных уровней и категорий с помощью соответствующих утилит, даже если ему не доступны уровни и категории выше 0. |
...
Если не настроена авторизация через Kerberos, по умолчанию для всех ресурсов будет использоваться авторизация через PAM
, при этом будет использоваться пользовательская БД, прописанная в настройках ОС. Логин и пароль пользователя будут передаваться от пользователя к серверу в открытом виде с использованием метода аутентификации Basic
. Для корректного функционирования авторизации через PAM
пользователю, от которого работает web-сервер (по умолчанию — www-data
), необходимо выдать права на чтение информации из БД пользователей и сведений о мандатных метках. Например, добавить права на чтение файла /etc/shadow:
панель |
---|
borderColor | #c2e6ff |
---|
bgColor | #e2f3ff |
---|
|
code |
usermod -a -G shadow www-data |
и права на чтение каталога /etc/parsec/macdb
:
панель |
---|
borderColor | #c2e6ff |
---|
bgColor | #e2f3ff |
---|
|
code |
setfacl -d -m u:www-data:r /etc/parsec/macdb
setfacl -R -m u:www-data:r /etc/parsec/macdb
setfacl -m u:www-data:rx /etc/parsec/macdb |
Настройка web-сервера Apache2 в ALD
...
активировать модуль web-сервера Apache 2.2 auth_kerb при помощи команды:
панель |
---|
borderColor | #c2e6ff |
---|
bgColor | #e2f3ff |
---|
|
code |
a2enmod auth_kerb |
в конфигурационных файлах виртуальных хостов web-сервера Apache 2.2 для областей, требующих авторизации, указать:
Подсказкаcode |
---|
|
AuthType Kerberos
KrbAuthRealms REALM
KrbServiceName HTTP/server.my_domain.org
Krb5Keytab /etc/apache2/keytab
KrbMethodNegotiate on
KrbMethodK5Passwd off
require valid-user |
создать в БД ALD с помощью утилиты администрирования ALD принципала, соответствующего настраиваемому web-серверу Apache. Принципал создается с автоматически сгенерированным случайным ключом:
панель |
---|
borderColor | #c2e6ff |
---|
bgColor | #e2f3ff |
---|
|
code |
ald-admin service-add HTTP/server.my_domain.org |
ввести созданного принципала в группу сервисов mac, используя следующую команду:
панель |
---|
borderColor | #c2e6ff |
---|
bgColor | #e2f3ff |
---|
|
code |
ald-admin sgroup-svc-add HTTP/server.my_domain.org --sgroup=mac |
создать файл ключа Kerberos для web-сервера Apache с помощью утилиты администрирования ALD ald-client, используя следующую команду:
панель |
---|
borderColor | #c2e6ff |
---|
bgColor | #e2f3ff |
---|
|
code |
ald-client update-svc-keytab HTTP/server.my_domain.org --ktfile="/etc/apache2/keytab" |
Полученный файл должен быть доступен web-серверу Apache по пути, указанному в конфигурационном параметре Krb5Keytab (в данном случае — /etc/apache2/keytab
). Права доступа к этому файлу должны позволять читать его пользователю, от имени которого работает web-сервер Apache (как правило, владельцем файла назначается пользователь www-data);
сменить владельца полученного на предыдущем шаге файла keytab на пользователя www-data, выполнив следующую команду:
панель |
---|
borderColor | #c2e6ff |
---|
bgColor | #e2f3ff |
---|
|
code |
chown www-data /etc/apache2/keytab |
сделать файл /etc/apache2/keytab
доступным на чтение для остальных пользователей:
панель |
---|
borderColor | #c2e6ff |
---|
bgColor | #e2f3ff |
---|
|
code |
chmod 644 /etc/apache2/keytab |
перезапустить web-сервер Apache, выполнив команду:
панель |
---|
borderColor | #c2e6ff |
---|
bgColor | #e2f3ff |
---|
|
code |
/etc/init.d/apache2 restart |
Браузер пользователя должен поддерживать аутентификацию negotiate. В последних версиях браузера Konqueror данная поддержка присутствует автоматически. В браузере Mozilla Firefox в настройках, доступных по адресу about:config, необходимо указать, для каких серверов доступна аутентификация negotiate. Для выполнения данной настройки необходимо задать маски доменов или в общем случае http- и https- соединения в качестве значений параметра network.negotiate-auth.trusted-uris
, вставив, например, значение http://, https://
.