使用 NTLM 或最好是 Kerberos 设置 apache 以支持 SSO 的正确/最干净的方法是什么,其中 CentOS7 运行连接到 Active Directory 域控制器的 sssd?
使用 realmd,加入域现在非常容易,但我无法在一个晚上让 apache 工作。看来谷歌目前还没有关于这个主题的答案。
我已经使用 gssapi 和 putty 使 SSO 与 SSH 协同工作。全新安装 CentOS 7 后,我所做的一切就是运行并将 default_domain_suffix 添加到 sssd.conf。realm join [email protected] --computer-ou=OU=Servers
答案1
你需要:
- 创建一个 HTTP/[电子邮件保护]FreeIPA 中的服务
- 使用 ipa-getkeytab 在 Web 服务器上下载 HTTP 服务 keytab,并使其(仅)可供 apache 访问
- 配置 apache 和 mod_auth_kerb 以使用 Kerberos 保护某些 URI
看这个例子或者这个例子。如需了解 Web 服务与 SSSD 之间的更高级集成,请查看FreeIPA.org 上的 Web_App_Authentication 文章。