Difference between revisions of "Mod auth kerb"
From A-Eskwiki
| (6 intermediate revisions by 2 users not shown) | |||
| Line 1: | Line 1: | ||
{{DISPLAYTITLE:mod_auth_kerb}} | {{DISPLAYTITLE:mod_auth_kerb}} | ||
[[category:sysop]] | [[category:sysop]] | ||
| + | Voor het gebruiken van Kerberos auth in Apache is een aantal stappen nodig: | ||
| + | ipa service-add HTTP/$hostname.a-eskwadraat.nl | ||
| + | ipa-getkeytab -s ipa05.a-eskwadraat.nl -p HTTP/$hostname.a-eskwadraat.nl -k /etc/httpd/conf/httpd.keytab | ||
| + | chown apache /etc/httpd/conf/httpd.keytab | ||
| + | chmod 600 /etc/httpd/conf/httpd.keytab | ||
| + | yum install mod_auth_kerb | ||
| + | |||
| + | Configuratie van mod_auth_kerb in Apache ziet er dan als volgt uit (/etc/httpd/conf.modules.d/10-auth_kerb.conf): | ||
| + | AuthType Kerberos | ||
| + | KrbMethodNegotiate on | ||
| + | KrbMethodK5Passwd off | ||
| + | KrbServiceName HTTP | ||
| + | KrbAuthRealms A-ESKWADRAAT.NL | ||
| + | Krb5KeyTab /etc/httpd/conf/httpd.keytab | ||
| + | KrbSaveCredentials off | ||
| + | Require valid-user | ||
| + | |||
| + | Het is ook mogelijk om autorisatie toe te passen d.m.v. [[HBAC]]-regels en [[mod_authnz_pam]]. | ||
| + | |||
| + | |||
| + | ps. Het moge duidelijk zijn dat voor $hostname een daadwerkelijke hostname ingevuld moet worden... | ||
Latest revision as of 21:47, 24 September 2018
Voor het gebruiken van Kerberos auth in Apache is een aantal stappen nodig:
ipa service-add HTTP/$hostname.a-eskwadraat.nl ipa-getkeytab -s ipa05.a-eskwadraat.nl -p HTTP/$hostname.a-eskwadraat.nl -k /etc/httpd/conf/httpd.keytab chown apache /etc/httpd/conf/httpd.keytab chmod 600 /etc/httpd/conf/httpd.keytab yum install mod_auth_kerb
Configuratie van mod_auth_kerb in Apache ziet er dan als volgt uit (/etc/httpd/conf.modules.d/10-auth_kerb.conf):
AuthType Kerberos KrbMethodNegotiate on KrbMethodK5Passwd off KrbServiceName HTTP KrbAuthRealms A-ESKWADRAAT.NL Krb5KeyTab /etc/httpd/conf/httpd.keytab KrbSaveCredentials off Require valid-user
Het is ook mogelijk om autorisatie toe te passen d.m.v. HBAC-regels en mod_authnz_pam.
ps. Het moge duidelijk zijn dat voor $hostname een daadwerkelijke hostname ingevuld moet worden...
