Versions Compared

Old Version 6

changes.mady.by.user Portal Writer

Saved on

compared with

New Version 7

changes.mady.by.user Portal Writer

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

...

  1. Установить необходимые пакеты
  2. Задать имя серверу
  3. Настроить синхронизацию времени

  4. Создание учетной записи в AD и файла keytab

  5. Создание keytab-файла

  6. Настройка kerberos на Linux сервере

  7. Настройка Веб-приложения Vitro для авторизации в каталоге LDAP/AD при помощи сервис принципала

1. Установка пакетов

Установить необходимые пакеты из репозиториев. 

...

Code Block
languagebash
yum install krb5-workstation

2. Имя сервера

В процессе настройки аутентификации через LDAP необходимо задать в качестве принципала имя нашего сервера:

...

* Для примера настройки в качестве FQDN имени сервера будет использовано vitroweb.domain.local (домен domain.local).

3. Настройка времени

Для работы с LDAP необходимо, чтобы время на контроллере совпадало с временем на нашем веб-сервере. Для этого необходимо настроить синхронизацию.

...

Code Block
languageyml
titlechrony.conf
...
server dc1.domain.local iburst
# server ...
# server ...
# server ...
...

4. Создание учетной записи в AD и файла keytab

Для подключения к контроллеру домена нам необходимо подтверждать подлинность. Это выполняется с помощью учетной записи в LDAP и ее отпечатка в файле keytab.

...

Warning
Учетная запись должна быть размещена по пути, в котором присутствуют названия только на латинице. Подразделения и контейнеры не должны быть на русском. В противном случае, при выполнении команды ниже мы получим ошибку «Password set failed! 0x00000020».

5. Создание keytab-файла

Данный файл позволяет пройти идентификацию в Kerberos без запроса пароля. Он содержит пары имен субъектов Kerberos и зашифрованные ключи, полученные из пароля Kerberos.

...

В нашем примере, после выполнения команды на контроллере домена в директории C:\temp появится файл krb5.keytab. Его следует скопировать на Linux-сервер, например, при помощи WinSCP.

6. Настройка kerberos на Linux сервере

1. Открыть на редактирование файл:

...

Code Block
languagebash
themeEmacs
Credentials cache: FILE:/tmp/krb5cc_0
        Principal: vitro_krb5@DOMAIN.LOCAL

  Issued                Expires               Principal 
Jul 30 21:09:34 2024  Jul 31 07:09:34 2024  HTTP/vitroweb.domain.local@DOMAIN.LOCAL

7. Настройка Веб-приложения Vitro для авторизации в каталоге LDAP/AD при помощи сервис принципала

Отредактировать (а при отсутствии предварительно создать) файл /usr/local/Vitro.Server.Core.Web/Vitro/Server/Conf/auth.json*

...