忍者ブログ

インフラ構築手順書

はじめてのインフラ、サーバ構築時に役に立つように構築手順情報をまとめました。


HOME   »     »  ApacheのKERBEROS認証を用いたAD連携 AD連携  »  ApacheのKERBEROS認証を用いたAD連携

[PR]

広告 

×

[PR]上記の広告は3ヶ月以上新規記事投稿のないブログに表示されています。新しい記事を書く事で広告が消えます。



ApacheのKERBEROS認証を用いたAD連携

広告 

ApacheのKerberos認証でAD認証連携させる

Apacheの基本認証にActiveDirectory(AD)のユーザ認証と連携する方法は2つあります。
 ・Apacheの基本認証にLDAP認証を用いたAD連携
 ・ApacheのKERBEROS認証を用いたAD連携
ここでは、「KERBEROS認証を用いたAD連携」について説明します。

ApacheのKERBEROS認証を用いたAD連携
利用モジュール mod_auth_kerb
メリット Apache-ADサーバ間はKERBEROS経由を利用するため、パスワードが暗号化されます。
デメリット KERBEROS認証の場合は、ActiveDirectory上の有効なユーザ全員が対象となり、ActiveDirectory上の特定OU内のユーザのみにすることは出来ないようです。
特定ユーザのみにする場合は「Require user」か、ユーザを列挙したファイルを用意して「Require group」を使用することになります。
Chromeブラウザからの認証は500エラーが発生する。(IE,FireFoxは正常にアクセスできることを確認)



ApacheとActiveDirectory(AD)連携手順の概要

DCサーバ側作業
 ・事前作業
Apacheサーバ側作業
 ・mod_auth_kerbモジュールインストール
 ・krb5.confファイルの編集
 ・ApacheのAD連携設定




事前作業(DCサーバ側作業)

ActiveDirectory構築
 ここでは、ActiveDirectoryが事前に構築済みであることを前提とします。

基本認証用アカウントの作成
 ADに基本認証用アカウントを作成する。


mod_auth_kerbモジュールインストール

# yum install mod_auth_kerb



krb5.confのAD連携設定

ログディレクトリ/var/log/krb5
Windowsドメイン名ad.hoge.com
DC(ドメインコントローラ)サーバ192.168.2.4

ログディレクトリ作成
 # mkdir /var/log/krb5 ;chown apache /var/log/krb5

krb5.confファイルの編集
 # vi /etc/krb5.conf

[logging]
default = FILE:/var/log/krb5/krb5libs.log
kdc = FILE:/var/log/krb5/krb5kdc.log
admin_server = FILE:/var/log/krb5/kadmind.log

[libdefaults]
default_realm = AD.HOGE.COM
dns_lookup_realm = false
dns_lookup_kdc = false
ticket_lifetime = 24h
renew_lifetime = 7d
forwardable = true

[realms]
AD.HOGE.COM = {
default_domain = ad.hoge.com
kdc = 192.168.2.4:88
admin_server = 192.168.2.4:749
}

[domain_realm]
.ad.hoge.com = AD.HOGE.COM
ad.hoge.com = AD.HOGE.COM
※大文字小文字は重要です。

krb5設定の動作確認
# kinit testapache@AD.HOGE.COM
Password for testapache@AD.HOGE.COM:
※何も表示されず終了すれば、成功!!
※ドメイン名は大文字にすること!!
※kinitコマンドはkrb5-workstationパッケージに含まれている



ApacheのAD連携設定

 # vi /etc/httpd/conf/httpd.conf

LoadModule auth_kerb_module modules/mod_auth_kerb.so

Alias /krb5 /var/www/krb5
<Location /krb5>
AuthType Kerberos
AuthName "Kerberos Login(ActiveDirectory)"
KrbAuthRealms AD.HOGE.COM
KrbVerifyKDC Off
KrbServiceName HTTPS/webdav-01.web.hoge.com
KrbMethodNegotiate off
KrbSaveCredentials off
Require valid-user
Order deny,allow
Deny from none
Allow from all
</Location>

<Directory "/var/www/krb5">
Options -Indexes FollowSymLinks
Order allow,deny
Allow from all
</Directory>


IEとFireFoxでアクセスできるが、Chromeでは500エラーとなってしまう場合は、下記を追加することで回避できる。

KrbMethodNegotiate off
KrbSaveCredentials off



拍手[5回]



Yahoo!ブックマーク Googleブックマーク はてなブックマーク livedoorClip del.icio.us FC2 ニフティクリップ iza Buzzurl 


最新記事
インフラ構築手順書の記事一覧
(09/17)
VMware ESXiでの時刻同期(NTP)ペストプラクティス
(04/09)
パフォーマンスがでないとき確認すること
(04/09)
Postfixにおける暗号化したSMTP認証設定
(03/22)
WEBアクセスログ解析ツールの比較
(01/16)
ESXi6.0からESXi5.1への仮想マシン複製(移行)
(12/30)
リソース使用状況のデータを数秒単位で取得する
(12/26)
Solaris11のHDD増設手順
(09/21)
Solaris11のresolv.conf変更手順
(09/21)
Solarisのホスト名を変更
(09/20)
Solarisのネットワーク設定変更
(09/12)
Pacemaker+MySQLレプリケーション構築【Pacemakerインストール】
(06/13)
Pacemaker+MySQLレプリケーション構築【ログローテート設定】
(06/13)
WebDAV構築手順
(03/14)
HAクラスタリングソフトの比較
(02/15)
おすすめのNginx関連書籍
(01/03)
おすすめのApache関連書籍
(01/03)
Pentahoの構築手順(インスール/基本設定)
(10/04)
システム統合監視Zabbix2.2の構築手順
(09/20)
Nginxのロードバランサー構築手順
(09/15)
PaceMacker+Mysqlレプリケーション構築手順[冗長化設定]
(09/14)
PaceMacker+Mysqlレプリケーション構築手順[事前設定]
(09/14)
PaceMacker+Mysqlレプリケーション構築手順[環境情報]
(09/14)
Amazon EC2/S3/CloudFront(AWS)に関するおすすめ書籍
(09/06)
PaceMaker環境の構築・運用で使うコマンド集
(08/30)
最古記事
Linux構築手順[OS基本設定]
(10/29)
共有ホスティング:ギガーン(株式会社ラクス)
(10/29)
共有ホスティング:Xbit(株式会社ラクス)
(10/29)
共有ホスティング:プレミアムエクスビット(株式会社ラクス)
(10/29)
共有ホスティング:エックスサーバー(株式会社ベット)
(10/29)
ESXi5の NTP設定
(04/12)
ESXi5のSSH設定
(04/12)
HeartBeat2+DRBD構築 【DRBD構築手順】
(06/12)
HeartBeat2+DRBD構築 【DRBDの起動と確認】
(06/12)
HeartBeat2+DRBD構築 【HeartBeat 基本設定】
(06/20)
HeartBeat2+DRBD構築 【HeartBeat リソース設定】
(06/22)
HeartBeat2+DRBD構築  【Heart運用手順】
(07/22)
HeartBeat2+DRBD構築 【DRBD障害対応】
(07/22)
DRBD構築時に発生したエラー
(07/30)
HeartBeat+DRBD構築【目次】
(07/30)
「HeartBeat+DRBD」の構築手順に役立つ書籍
(08/18)
VmwareESXiに関するおすすめ書籍
(08/18)
Oracle RACに関するおすすめ書籍
(08/22)
ESXi上でRAC構築11【インストール後の確認】
(08/24)
ESXi上でRAC構築10【データベースの作成】
(08/24)
ESXi上でRAC構築9【Oracleデータベースのインストール】
(08/24)
ESXi上でRAC構築8【ASMディスクグループ作成】
(08/24)
ESXi上でRAC構築7【Grid Infrastructureのインストール】
(08/24)
ESXi上でRAC構築5【RAC構築の事前作業】
(08/24)
ESXi上でRAC構築4【仮想共有ストレージ設定(ESXi)】
(08/24)


PR

Comment

お名前
タイトル
E-MAIL
URL
コメント
パスワード

Copyright © インフラ構築手順書 : All rights reserved

TemplateDesign by KARMA7

忍者ブログ [PR]

管理人限定

検索フォーム

カスタム検索

フリーエリア

ESXiの基本設定・運用設定
ESXiのSSH設定
ESXiの NTP設定
VMware ESXiでの時刻同期(NTP)ペストプラクティス
ESXiのゲストOS(仮想マシン)複製
ESXiのOVF形式で複製
異なるESXiバージョン間の複製(移行)
クローン作成後の後処理
仮想マシンのLVM追加
仮想共有ディスクファイルの作成
ESXi上でハイパーバイザーを稼動させる
パフォーマンスがでないとき確認すること


サーバ構築手順
ESXi上でRACを構築する
GFS2+DRBD構築
PaceMaker+MySQLレプリケーション構築
PaceMaker+DRBD構築
HeartBeat2+DRBD構築


Solarisの構築手順
Solarisのネットワーク設定変更
Solarisのホスト名変更
Solaris11のresolv.conf変更手順
Solaris11のHDD増設手順


AWS(Amazon Web Service)の基本設定・運用設定
S3 WEBサイトの構築
S3 WEBサイトのアクセス制限
S3 WEBサイトのリダイレクト設定


Windows Azureの基本設定・運用設定
AzureでWordpress構築
英語版Wordpressを日本語化する
AzureWebサイトの独自ドメイン設定
AzureWebサイトのモード変更
WEBアクセスログ解析ツールの比較


WordPressの基本設定・運用設定
WordPressの基本構造
WordPressのインストール手順
Wordpressマルチサイト機能
「続き読む(more)」カスタマイズ
Wordpressの独自PHP
Wordpressをサブディレクトリに移す
既存サブディレクトリをルートディレクトリとする
Wordpressが利用可能な共用ホスティング


Postfix構築
Postfixにおける暗号化したSMTP認証設定


SoftEtherVPNの構築
ESXi上のSoftEtherVPN構築
DDNSと組み合わせたSoftEtherVPNの設定


LinuxのAD連携
LinuxのActiveDirectory連携について
PAM認証でAD連携
ApacheでAD連携(LDAP認証)
ApacheでAD連携(Kerberos認証)
SAMBAで2台目DCサーバを構築
RedmineとGitのLDAP(AD)認証設定
JenkinsのLDAP(ActiveDirectory)認証設定


Redmine設定
Alminium(RedmineとGit/SVN)のインストール手順
RedmineとGitのLDAP(AD)認証設定
RedmineとGitの移行
JenkinsのLDAP(ActiveDirectory)認証設定


サーバの基本設定・運用設定
Apache
Apacheの基本設定
Apacheの仮想ホスト設定
PHPの基本設定
Nginxのロードバランサ設定
WebDAV構築手順
アンチウィルス
無償アンチウィルス(ClamAV)の導入手順
システム監視
システム監視ソフトMuninの導入手順
システム監視ソフトZabbixの導入手順
sarによるリソース使用情報取得


サーバ移行
Mysqlマイグレーション
MySQLマイグレーション時の問題点と解決策
Windows
Windows OS評価版からの移行
SQL Server評価版からの移行
クラスタソフト
クラスタソフトの比較

ツリーカテゴリ

RSS

RSS 0.91
RSS 1.0
RSS 2.0

広告ーSEO





人気ブログランキングへ
にほんブログ村 IT技術ブログ Webサイト構築へ

ブログ王ランキングに参加中!

最新トラックバック

バーコード

アフィリエイト2