活动目录环境下Apache单点登录(SSO)的实现

284354749

　　1、实验环境
　　公司部署有微软的活动目录，假设域名为wyd.com，一台Web服务器，运行在Red hat  Enterpise Linux 5.5上，该网站原本只在内网访问，现由于业务的发展，需要发布到互联网上，以便销售人员和维护人员通过互联网随时能访问到，但由于该网站的内容涉及商业数据，不能让非公司人员随意访问到。
　　2、实验目的
　　为了保证数据的安全，需要在Apache上做身份验证，如果用传统的Apache的认证机制的话就会给用户带来麻烦，因为用户要输入额外的用户名和密码来登录网站。最理想的方式就是在公司内网里用户不用输入用户名和密码，可以直接登录；从互联网访问时，则需要输入用户名和密码，而这个账户密码就是登录公司域的账户名和密码。
　　3、实现原理
　　用户登录活动目录时使用的是Kerberos协议，因此Apache的验证方式就使用Kerberos协议，用户登录活动目录后会获得一个Kerberos票据，这个Kerberos票据就可以用来登录Apache，如果用户不在公司内网里，在登录Apache时只需要输入活动目录的用户名和密码即可。
　　4、实现步骤
　　a. 安装Apache，PHP，mod_auth_kerb
　　PHP环境根据需要安装，mod_auth_kerb就是Apache的Kerberos认证模块，配置好YUM仓库后可以使用yum工具来安装，也可以直接使用rpm命令:
　　[root@test ~]#yum    install    httpd    php*   mod_auth_kerb   -y
　　b.配置Kerberos
　　使用vim编辑/etc/krb5.conf文件，该文件是参照example.com域来配置的，把example.com全部替换成自己的域名即可，注意Kerberos是区分大小写的，需要修改的内容如下：
　　[libdefaults]
　　default_realm = WYD.COM
　　[realms]
　　WYD.COM = {
　　kdc = dc1.wyd.com:88
　　default_domain = wyd.com
　　}
　　[domain_realm]
　　test.wyd.com = WYD.COM
　　wyd.com = WYD.COM
　　其中，test.wyd.com是Apache服务器的FQDN名，kdc的值要设置成域中的DC。
　　设置好Kerberos后，可以验证一下配置是否正确，使用kinit命令,参数为AD中的一个账户
　　[root@test ~]#kinit   bob@WYD.COM
　　注意大小写，该命令会提示你输入密码，命令成功执行后不会有任何提示，可以使用klist命令查看获得的Kerberos票据
　　c.为test.wyd.com主机创建HTTP服务凭据
　　首先需要在AD中创建一个用来映射HTTP service的账户，此例中为apache。其次登录到DC中，使用命令行工具ktpass将apache账户映射到HTTP/test.wyd.com@WYD.COM，并把凭据导出到一个keytab文件。(ktpass命令在support tools中，需要安装)，命令如下：
　　C:\>ktpass  -princ HTTP/test.wyd.com@WYD.COM   -mapuser apache   -crypto rc4-hmac-nt   -ptype KRB5_NT_SRV_HST  -pass  wyd   -out c:\apache.keytab
　　命令成功执行后，将c:\apache.keytab文件拷贝到WEB服务器，确保apache进程对该文件有读权限。
　　d.配置httpd.conf使用mod_auth_kerb模块进行身份验证
　　alias /test     /www/myweb
　　
　　AuthType Kerberos
　　AuthName "Kerberos Login"
　　KrbMethodNegotiate On
　　KrbMethodK5Passwd Off
　　KrbAuthRealms WYD.COM
　　Krb5KeyTab /etc/httpd/apache.keytab
　　KrbServiceName HTTP
　　require valid-user
　　
　　e.配置IE浏览器
　　IE浏览器默认已经支持“集成windows身份验证”，只需要把该网站加入到“本地Intranet”区域即可。注意访问时不能使用ip地址，必须使用前面ktpass命令中使用的FQDN名，此例为test.wyd.com
　　5、测试
　　到此，实验完成，域内用户访问不需要输入密码，不在域内或未登录域访问只需输入域账号密码即可。可以使用下面这段PHP代码测试：
　　
　　参考文档：http://www.grolmsnet.de/kerbtut/