====== Autenticazione Kerberos per Apache ======

Vogliamo attivare l'autenticazione base di Apache basata su Kerberos. Nel caso semplice il server Apache e il KDC Kerberos risiedono sullo stesso server.

Anzitutto si installa il pacchetto Debian **libapache2-mod-auth-kerb**. Poi bisogna creare un //principal// (account Kerberos) che verrà utilizzato da Apache. Utilizziamo **''kadmin.local''** per creare il principal e per esportare la chiave in un file:

<code>
kadmin.local
kadmin.local:  addprinc -randkey HTTP/intranet.rigacci.org@RIGACCI.ORG
kadmin.local:  ktadd -k /etc/apache2/krb5.keytab HTTP/intranet.rigacci.org@RIGACCI.ORG
</code>

Il keytab file deve essere protetto da occhi indiscreti:

<code>
chown www-data /etc/apache2/krb5.keytab
chmod 0600 /etc/apache2/krb5.keytab
</code>

A questo punto è sufficiente configurare l'autenticazione in Apache:

<file>
<Location /trac/login>
    AuthType Kerberos
    Krb5Keytab /etc/apache2/krb5.keytab
    KrbServiceName HTTP/intranet.rigacci.org@RIGACCI.ORG
    AuthName "Trac Rigacci.Org"
    Require valid-user
</Location>
</file>

Ovviamente si deve provvedere ad aggiungere in Kerberos tutti i principal che potranno autenticarsi via web.