User Tools

Site Tools


doc:appunti:linux:sa:kerberos_apache

Autenticazione Kerberos per Apache

Vogliamo attivare l'autenticazione base di Apache basata su Kerberos. Nel caso semplice il server Apache e il KDC Kerberos risiedono sullo stesso server.

Anzitutto si installa il pacchetto Debian libapache2-mod-auth-kerb. Poi bisogna creare un principal (account Kerberos) che verrà utilizzato da Apache. Utilizziamo kadmin.local per creare il principal e per esportare la chiave in un file:

kadmin.local
kadmin.local:  addprinc -randkey HTTP/intranet.rigacci.org@RIGACCI.ORG
kadmin.local:  ktadd -k /etc/apache2/krb5.keytab HTTP/intranet.rigacci.org@RIGACCI.ORG

Il keytab file deve essere protetto da occhi indiscreti:

chown www-data /etc/apache2/krb5.keytab
chmod 0600 /etc/apache2/krb5.keytab

A questo punto è sufficiente configurare l'autenticazione in Apache:

<Location /trac/login>
    AuthType Kerberos
    Krb5Keytab /etc/apache2/krb5.keytab
    KrbServiceName HTTP/intranet.rigacci.org@RIGACCI.ORG
    AuthName "Trac Rigacci.Org"
    Require valid-user
</Location>

Ovviamente si deve provvedere ad aggiungere in Kerberos tutti i principal che potranno autenticarsi via web.

doc/appunti/linux/sa/kerberos_apache.txt · Last modified: 2008/12/30 17:48 by 127.0.0.1