Vogliamo attivare l'autenticazione base di Apache basata su Kerberos. Nel caso semplice il server Apache e il KDC Kerberos risiedono sullo stesso server.
Anzitutto si installa il pacchetto Debian libapache2-mod-auth-kerb. Poi bisogna creare un principal (account Kerberos) che verrà utilizzato da Apache. Utilizziamo kadmin.local per creare il principal e per esportare la chiave in un file:
kadmin.local kadmin.local: addprinc -randkey HTTP/intranet.rigacci.org@RIGACCI.ORG kadmin.local: ktadd -k /etc/apache2/krb5.keytab HTTP/intranet.rigacci.org@RIGACCI.ORG
Il keytab file deve essere protetto da occhi indiscreti:
chown www-data /etc/apache2/krb5.keytab chmod 0600 /etc/apache2/krb5.keytab
A questo punto è sufficiente configurare l'autenticazione in Apache:
<Location /trac/login>
AuthType Kerberos
Krb5Keytab /etc/apache2/krb5.keytab
KrbServiceName HTTP/intranet.rigacci.org@RIGACCI.ORG
AuthName "Trac Rigacci.Org"
Require valid-user
</Location>
Ovviamente si deve provvedere ad aggiungere in Kerberos tutti i principal che potranno autenticarsi via web.