[英]LADP - Kerberos Setup on Apache with Wordpress Single Sign-On not working
我们使用 Active Directory 进行了本地网络设置。 我们开发了一个只能从本地网络托管和访问的网站。 如果用户已经登录到操作系统上的 Active Directory,我们希望用户在访问我们的 Wordpress 网站时立即自动登录。
在仅跟踪文档时,我们仍然面临着我们发现很难修复的问题,我们花了很多时间才能成功启动这样的设置。 一些错误是:
答案将列出我们面临的所有问题以及我们如何设法解决这些问题,以防某些人在设置时遇到相同的问题。
在 Active Directory 域控制器上创建 Keytab 文件
ktpass -princ HTTP/intranet.domain.com@DOMAIN.COM -pass "{PASSWORD}" -mapuser username@DOMAIN.COM -Ptype KRB5_NT_PRINCIPAL -out website-auth.keytab
/etc/httpd/kerberos-credentials/website-auth.keytab
在 Web 服务器上安装 Kerberos 客户端库:
在 Kerberos 配置文件中配置 Active Directory 域
# Configuration snippets may be placed in this directory as well
includedir /etc/krb5.conf.d/
[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log
[libdefaults]
dns_lookup_realm = true
dns_lookup_kdc = true
ticket_lifetime = 24h
renew_lifetime = 7d
forwardable = true
rdns = false
pkinit_anchors = /etc/pki/tls/certs/ca-bundle.crt
default_realm = DOMAIN.COM
default_tkt_enctypes = aes256-cts des3-cbc-sha1 arcfour-hmac des-cbc-crc aes256-cts-hmac-sha1-96 des-cbc-md5 arcfour-hmac-md5
default_tgs_enctypes = aes256-cts des3-cbc-sha1 arcfour-hmac des-cbc-crc aes256-cts-hmac-sha1-96 des-cbc-md5 arcfour-hmac-md5
permitted_enctypes = aes256-cts des3-cbc-sha1 arcfour-hmac des-cbc-crc aes256-cts-hmac-sha1-96 des-cbc-md5 arcfour-hmac-md5
[realms]
DOMAIN.COM = {
admin_server = DOMAIN.COM
kdc = DOMAIN.COM
}
[domain_realm]
domain.com = DOMAIN.COM
.domain.com = DOMAIN.COM
[login]
krb4_convert = true
krb4_get_tickets = true
为 Apache 安装 auth_kerb 模块
为站点目录配置 Kerberos SSO
LoadModule auth_kerb_module /usr/lib64/httpd/modules/mod_auth_kerb.so
<Directory "/var/www/html">
Order allow,deny
Allow from all
AuthType Kerberos
AuthName "username used in keytab"
KrbAuthRealms DOMAIN.COM
KrbServiceName HTTP/intranet.domain.com@DOMAIN.COM
Krb5Keytab /etc/httpd/kerberos-credentials/website-auth.keytab
KrbMethodNegotiate On
KrbMethodK5Passwd On
KrbVerifyKDC On
require valid-user
</Directory>
在 apache 上检查 httpd_can_network_connect
httpd_can_network_connect
设置。 为此,请运行:
getsebool -a | grep httpd
getsebool -a | grep httpd
:它正在返回 httpd_can_network_connect --> offsetsebool -P httpd_can_network_connect on
: 启用设置将 wordpress 网站添加到 OS 上的本地内网
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.