doc:appunti:linux:sa:kerberos_apache
Autenticazione Kerberos per Apache
Vogliamo attivare l'autenticazione base di Apache basata su Kerberos. Nel caso semplice il server Apache e il KDC Kerberos risiedono sullo stesso server.
Anzitutto si installa il pacchetto Debian libapache2-mod-auth-kerb. Poi bisogna creare un principal (account Kerberos) che verrà utilizzato da Apache. Utilizziamo kadmin.local
per creare il principal e per esportare la chiave in un file:
kadmin.local kadmin.local: addprinc -randkey HTTP/intranet.rigacci.org@RIGACCI.ORG kadmin.local: ktadd -k /etc/apache2/krb5.keytab HTTP/intranet.rigacci.org@RIGACCI.ORG
Il keytab file deve essere protetto da occhi indiscreti:
chown www-data /etc/apache2/krb5.keytab chmod 0600 /etc/apache2/krb5.keytab
A questo punto è sufficiente configurare l'autenticazione in Apache:
<Location /trac/login> AuthType Kerberos Krb5Keytab /etc/apache2/krb5.keytab KrbServiceName HTTP/intranet.rigacci.org@RIGACCI.ORG AuthName "Trac Rigacci.Org" Require valid-user </Location>
Ovviamente si deve provvedere ad aggiungere in Kerberos tutti i principal che potranno autenticarsi via web.
doc/appunti/linux/sa/kerberos_apache.txt · Last modified: 2008/12/30 16:48 by 127.0.0.1