Red Hat Training
A Red Hat training course is available for Red Hat Enterprise Linux
5.3.8. Kerberos 対応 Web アプリケーションでの信頼の使用
既存の Web アプリケーションは、信頼される Active Directory および IdM Kerberos レルムを参照する Kerberos 認証を使用するように設定できます。完全な Kerberos 設定ディレクティブについては Configuration page for the mod_auth_kerb module を参照してください。
注記
Apache アプリケーション設定を変更した後に、Apache サービスを再起動します。
[root@ipaserver ~]# systemctl restart httpd.service
たとえば Apache サーバーの場合は、Apache サーバーが IdM Kerberos レルムに接続する方法を定義する以下のようなオプションがあります。
KrbAuthRealms
KrbAuthRealms
オプションは、アプリケーションの場所を IdM ドメインの名前に指定します。これは必須です。Krb5Keytab
Krb5Keytab
オプションは、IdM サーバーのキータブの場所を提供します。これは必須です。KrbServiceName
KrbServiceName
オプションは、キータブ (HTTP) に使用される Kerberos サービス名を設定します。これは推奨されるオプションです。KrbMethodK5Passwd
およびKrbMethodNegotiate
KrbMethodK5Passwd
Kerberos メソッドオプションは、有効なユーザーに対してパスワードベースの認証を有効にします。KrbMethodNegotiate
オプションは、有効な Kerberos チケットが利用可能な場合に Single Sign-On (SSO) を有効にします。ユーザーが多い場合は、これらのオプションの使用が推奨されます。KrbLocalUserMapping
KrbLocalUserMapping
オプションは、通常の Web ログイン (通常はアカウントの UID またはコモンネーム) を完全修飾ユーザー名 (フォーマットは user@REALM.COM) にマッピングすることを可能にします。このオプションの使用は強く推奨されます。ドメイン名/ログイン名マッピングがないと、Web ログインはドメインユーザーとは別のユーザーアカウントになるよう見えます。つまり、ユーザーは予想されるデータを表示できません。サポートされるユーザー名形式の詳細については、「サポートされるユーザー名の形式」 を参照してください。
例5.1 Apache Web アプリケーションの Kerberos 設定
<Location "/mywebapp"> AuthType Kerberos AuthName "IPA Kerberos authentication" KrbMethodNegotiate on KrbMethodK5Passwd on KrbServiceName HTTPKrbAuthRealms IDM_DOMAIN
Krb5Keytab /etc/httpd/conf/ipa.keytab
KrbLocalUserMapping on
KrbSaveCredentials off Require valid-user </Location>