Apache. Аутентификация Kerberos

Как и обещал, давайте рассмотрим установку метода аутентификации Kerberos. (на примере Astra Linux)

 

1.Проверим состояние работы единого простраства пользователей командой :

ald-client status.                           

2.Проверим разрешение имен в файле /etc/hosts ( полное имя)

Начнем с установки пакетов :

apt-get install  libapache2-mod-auth-kerb

Отключим метод аутентификации PAM:

a2dismod auth_pam

Активируем метод Kerberos:

a2enmod auth_kerb

Теперь отредактируем конфигурационной файл /etc/apache2/sites-available/,
приведя его к виду :

AuthType Kerberos
KrbAuthRealms REALM
KrbServiceName HTTP/web.itsecforu.ru
Krb5Keytab /etc/apache2/keytab
KrbMethodNegotiate on
KrbMethodK5Passwd off
require valid-user

Создадим в KDC принципал для нашего Web-сервера:

ald-admin service-add HTTP/web.itsecforu.ru

Добавим созданный принципал в группу mac:

ald-admin sgroup-svc-add HTTP/web.itsecforu.ru —sgroup=mac

Создадим файл ключа:
ald-client update-svc-keytab HTTP/web.itsecforu.ru
—ktfile=»/etc/apache2/keytab»

Назначим владельцем файла системного пользователя www-data:
chown www-data /etc/apache2/keytab

Разрешим чтение остальным:
chmod 644 /etc/apache2/keytab

Перезапустим Web-Сервер:

service apache2 restart

Откром браузер (на примере Mazilla):

firefox 127.0.0.1

В строке состояния браузера впишем about:config.
На все опасности берем риски на себя, обещаем быть осторожными и тд.
В параметрах, выделенных на рисунке, указываем значения :

http://web.itsecforu.ru, https://web.itsecforu.ru

При успешной настройке мы увидим надпись «It works»

 

cryptoparty

Cryptography is typically bypassed, not penetrated.

Apache. Аутентификация Kerberos: 2 комментария

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

5e7fa976b0640d40