Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

5.3.8. Kerberos 対応 Web アプリケーションでの信頼の使用

既存の Web アプリケーションは、信頼される Active Directory および IdM Kerberos レルムを参照する Kerberos 認証を使用するように設定できます。完全な Kerberos 設定ディレクティブについては Configuration page for the mod_auth_kerb module を参照してください。
注記
Apache アプリケーション設定を変更した後に、Apache サービスを再起動します。
[root@ipaserver ~]# systemctl restart httpd.service
たとえば Apache サーバーの場合は、Apache サーバーが IdM Kerberos レルムに接続する方法を定義する以下のようなオプションがあります。
KrbAuthRealms
The KrbAuthRealms オプションは、アプリケーションの場所を IdM ドメインの名前に指定します。これは必須です。
Krb5Keytab
Krb5Keytab オプションは、IdM サーバーのキータブの場所を提供します。これは必須です。
KrbServiceName
The KrbServiceName オプションは、キータブ(HTTP)に使用される Kerberos サービス名を設定します。これは推奨されるオプションです。
KrbMethodK5Passwd および KrbMethodNegotiate
The KrbMethodK5Passwd Kerberos method オプションは、有効なユーザーにパスワードベースの認証を有効にします。The KrbMethodNegotiate オプションは、有効な Kerberos チケットが利用可能な場合に、シングルサインオン(SSO)を有効にします。
ユーザーが多い場合は、これらのオプションの使用が推奨されます。
KrbLocalUserMapping
The KrbLocalUserMapping オプションは、通常の Web ログインを有効にします(通常はアカウントの UID または一般名 )。これは、user@REALM.COM 形式の完全修飾ユーザー名にマップされます。
このオプションの使用は強く推奨されます。ドメイン名/ログイン名マッピングがないと、Web ログインはドメインユーザーとは別のユーザーアカウントになるよう見えます。つまり、ユーザーは予想されるデータを表示できません。
サポートされるユーザー名形式の詳細については、「サポートされるユーザー名の形式」 を参照してください。

例5.1 Apache Web アプリケーションの Kerberos 設定

<Location "/mywebapp">
   AuthType Kerberos
   AuthName "IPA Kerberos authentication"
   KrbMethodNegotiate on
   KrbMethodK5Passwd on
   KrbServiceName HTTP
   KrbAuthRealms IDM_DOMAIN
   Krb5Keytab /etc/httpd/conf/ipa.keytab
   KrbLocalUserMapping on
   KrbSaveCredentials off
   Require valid-user
</Location>