Difference between revisions of "Mod auth kerb"
From A-Eskwiki
(4 intermediate revisions by 2 users not shown) | |||
Line 3: | Line 3: | ||
Voor het gebruiken van Kerberos auth in Apache is een aantal stappen nodig: | Voor het gebruiken van Kerberos auth in Apache is een aantal stappen nodig: | ||
ipa service-add HTTP/$hostname.a-eskwadraat.nl | ipa service-add HTTP/$hostname.a-eskwadraat.nl | ||
− | ipa-getkeytab -s | + | ipa-getkeytab -s ipa05.a-eskwadraat.nl -p HTTP/$hostname.a-eskwadraat.nl -k /etc/httpd/conf/httpd.keytab |
chown apache /etc/httpd/conf/httpd.keytab | chown apache /etc/httpd/conf/httpd.keytab | ||
chmod 600 /etc/httpd/conf/httpd.keytab | chmod 600 /etc/httpd/conf/httpd.keytab | ||
yum install mod_auth_kerb | yum install mod_auth_kerb | ||
+ | |||
+ | Configuratie van mod_auth_kerb in Apache ziet er dan als volgt uit (/etc/httpd/conf.modules.d/10-auth_kerb.conf): | ||
+ | AuthType Kerberos | ||
+ | KrbMethodNegotiate on | ||
+ | KrbMethodK5Passwd off | ||
+ | KrbServiceName HTTP | ||
+ | KrbAuthRealms A-ESKWADRAAT.NL | ||
+ | Krb5KeyTab /etc/httpd/conf/httpd.keytab | ||
+ | KrbSaveCredentials off | ||
+ | Require valid-user | ||
+ | |||
+ | Het is ook mogelijk om autorisatie toe te passen d.m.v. [[HBAC]]-regels en [[mod_authnz_pam]]. | ||
+ | |||
+ | |||
+ | ps. Het moge duidelijk zijn dat voor $hostname een daadwerkelijke hostname ingevuld moet worden... |
Latest revision as of 21:47, 24 September 2018
Voor het gebruiken van Kerberos auth in Apache is een aantal stappen nodig:
ipa service-add HTTP/$hostname.a-eskwadraat.nl ipa-getkeytab -s ipa05.a-eskwadraat.nl -p HTTP/$hostname.a-eskwadraat.nl -k /etc/httpd/conf/httpd.keytab chown apache /etc/httpd/conf/httpd.keytab chmod 600 /etc/httpd/conf/httpd.keytab yum install mod_auth_kerb
Configuratie van mod_auth_kerb in Apache ziet er dan als volgt uit (/etc/httpd/conf.modules.d/10-auth_kerb.conf):
AuthType Kerberos KrbMethodNegotiate on KrbMethodK5Passwd off KrbServiceName HTTP KrbAuthRealms A-ESKWADRAAT.NL Krb5KeyTab /etc/httpd/conf/httpd.keytab KrbSaveCredentials off Require valid-user
Het is ook mogelijk om autorisatie toe te passen d.m.v. HBAC-regels en mod_authnz_pam.
ps. Het moge duidelijk zijn dat voor $hostname een daadwerkelijke hostname ingevuld moet worden...