Как и обещал, давайте рассмотрим установку метода аутентификации Kerberos. (на примере Astra Linux)
1.Проверим состояние работы единого простраства пользователей командой :
ald-client status.
2.Проверим разрешение имен в файле /etc/hosts ( полное имя)
Начнем с установки пакетов :
apt-get install libapache2-mod-auth-kerb
Отключим метод аутентификации PAM:
a2dismod auth_pam
Активируем метод Kerberos:
a2enmod auth_kerb
Теперь отредактируем конфигурационной файл /etc/apache2/sites-available/,
приведя его к виду :
AuthType Kerberos
KrbAuthRealms REALM
KrbServiceName HTTP/web.itsecforu.ru
Krb5Keytab /etc/apache2/keytab
KrbMethodNegotiate on
KrbMethodK5Passwd off
require valid-user
Создадим в KDC принципал для нашего Web-сервера:
ald-admin service-add HTTP/web.itsecforu.ru
Добавим созданный принципал в группу mac:
ald-admin sgroup-svc-add HTTP/web.itsecforu.ru –sgroup=mac
Создадим файл ключа:
ald-client update-svc-keytab HTTP/web.itsecforu.ru
–ktfile=”/etc/apache2/keytab”
Назначим владельцем файла системного пользователя www-data:
chown www-data /etc/apache2/keytab
Разрешим чтение остальным:
chmod 644 /etc/apache2/keytab
Перезапустим Web-Сервер:
service apache2 restart
Откром браузер (на примере Mazilla):
firefox 127.0.0.1
В строке состояния браузера впишем about:config.
На все опасности берем риски на себя, обещаем быть осторожными и тд.
В параметрах, выделенных на рисунке, указываем значения :
http://web.itsecforu.ru, https://web.itsecforu.ru
При успешной настройке мы увидим надпись “It works”
доп. инфа на сайте русбиттеха