Red Hat Training

A Red Hat training course is available for RHEL 8

1.6. Apache HTTP Web サーバーの Kerberos 認証の設定

Apache HTTP Web サーバーで Kerberos 認証を実行するには、RHEL 8 は Apache モジュール mod_auth_gssapi を使用します。Generic Security Services API (GSSAPI) は、Kerberos などのセキュリティーライブラリーを使用する要求を行うアプリケーションのインターフェースです。Thegssproxy サービスを使用すると、httpd サーバーの特権分離を実装できます。これにより、このプロセスがセキュリティーの観点から最適化されます。

注記

mod_auth_gssapi モジュールは、削除された mod_auth_kerb モジュールに置き換わるものです。

前提条件

  • httpd パッケージおよびgssproxy パッケージがインストールされている。
  • Apache Web サーバーが設定され、httpd サービスが実行している。

1.6.1. IdM 環境における GSS-Proxy の設定

この手順では、Apache HTTP Web サーバーで Kerberos 認証を実行する GSS-Proxy を設定する方法を説明します。

手順

  1. サービスプリンシパルを作成して、HTTP/<SERVER_NAME>@realm プリンシパルのキータブファイルへのアクセスを有効にします

    # ipa service-add HTTP/<SERVER_NAME>
  2. /etc/gssproxy/http.keytab ファイルに保存されているプリンシパルのキータブを取得します

    # ipa-getkeytab -s $(awk '/^server =/ {print $3}' /etc/ipa/default.conf) -k /etc/gssproxy/http.keytab -p HTTP/$(hostname -f)

    このステップでは、パーミッションを 400 に設定すると、root ユーザーのみが keytab ファイルにアクセスできます。apache ユーザーは行いません。

  3. 以下の内容で /etc/gssproxy/80-httpd.conf ファイルを作成します。

    [service/HTTP]
      mechs = krb5
      cred_store = keytab:/etc/gssproxy/http.keytab
      cred_store = ccache:/var/lib/gssproxy/clients/krb5cc_%U
      euid = apache
  4. gssproxy サービスを再起動して有効にします。

    # systemctl restart gssproxy.service
    # systemctl enable gssproxy.service

関連情報

  • GSS-Proxy の使用または調整の詳細は、gssproxy(8)gssproxy-mech(8)、および gssproxy.conf(5) の man ページを参照してください。