Приклад реалізації системи SSO

Застосування протоколу Kerberos для аутентифікації досить рас-пространено як в сервісах Microsoft, так і в сервісах інших виробляєте-лей Наприклад, Kerberos використовується для аутентифікації клієнта перед

web-сервером Розглянемо її на прикладі модуля mod_auth_kerb для web-

сервера Apache

Виконання наступного завдання створить захищену web-сторінку на сервері Apache, при цьому аутентифікація для користувачів домену AD бу-дет відбуватися прозоро

ВИКОНАТИ

16 На віртуальній машині WS-Linux відкрити текстовим редактором файл

«/ Etc/apache2/sites-available/default», в розділі ука-

зать наступні директиви (коментарі, зазначені після символу «#»,

набирати не треба):

# Підключити модуль mod_auth_kerb

AuthType Kerberos

# Розташування keytab-файлу

Krb5Keytab /etc/apache2/httpkeytab

# Дозволити аутентифікацію

# За допомогою сеансового ключа

KrbMethodNegotiate on

# Заборонити аутентифікацію рівня Basic

KrbMethodK5Passwd off

# Дозволити доступ тільки

# Аутентифицироваться користувачам

Require valid-user

17 На віртуальній машині DC запустити «Windows Support Tools Shell» (Start ⇒ Programs ⇒ Windows Support tools ⇒ Command Prompt)

18 Створити сутність Kerberos, відповідну обліковий запис і keytab-

файл для web-сервера Apache Для цього створити користувача ws-linux_http за допомогою оснастки «Active Directory Users and Computers»

Створити файл «keytab» за допомогою наступної команди:

ktpass –princ HTTP/ws-linuxexamplecom@EXAMPLECOM

–crypto des-cbc-md5 +desOnly

–ptype KRB5_NT_PRINCIPAL

–out c:\httpkeytab +rndPass

–mapuser ws-linux_http@examplecom –mapop set

19 Скопіювати файл «httpkeytab» в каталог «/ etc/apache2» віртуальної ма-

шини WS-Linux

20 Запустити знову web-сервер Apache за допомогою команди

/etc/initd/apache2 force-reload

21 На віртуальній машині DC запустити і налаштувати браузер Internet

Explorer Для цього в меню Tools ⇒ Internet Options вибрати закладку «Se-

curity », вибрати зону« Local Intranet », натиснути кнопку« Sites », натиснути кноп-

ку «Advanced», додати до списку сайтів рядок «* examplecom» У раз-

справі «Security level for this zone» натиснути кнопку «Custom level» Переконатися, що в підрозділі «logon» розділу «User authentication» обрано пункт «Automatic logon only in Intranet zone» Перейти на закладку «Ad-vanced» Переконатися, що в розділі «Security» активізована опція «En-able Integrated Windows Authentication» Якщо вона не була обрана, то ви-брати і перезавантажити віртуальну машину

22 Запустити утиліту kerbtrayexe (Start ⇒ Programs ⇒ Windows Resource Kit

Tools ⇒ Command Shell, набрати в консолі kerbtray) Переглянути теку-

щий список квитків користувача, викликавши вікно утиліти за допомогою

іконки в системному треї (іконка у вигляді квитка зеленого кольору)

23 В адресному рядку оглядача набрати «http://ws-linuxexamplecom»

Переконатися, що в оглядачі відобразилася стартова сторінка web-

сервера Apache

24 Переконатися, що в списку квитків користувача додався квиток «HTTP/ws- linuxexamplecom @ EXAMPLECOM»

25 На робочій станції WS-Linux виконати команду

tail /var/log/apache2/accesslog

26 У висновку команди знайти запис, аналогічну представленої на рис 79

Рис 79 Запис в лог-файлі web-сервера Apache про доступ Kerberos-сутності

«Administrator@EXAMPLECOM»

27 Спробувати зайти на web-сторінку з основною робочої станції (може знадобитися перенастроювання IP-адреси віртуального мережевого підключенні ня VMWare VMNet1, адреса має бути з мережі 1921680/24), переконатися, що у вікні оглядача виводиться повідомлення про помилку 401 (Unauthor-ized)

Джерело: Андрончик А Н, Богданов В В, Домуховскій Н А, Коллеров А С, Синадський Н І, Хорьков Д А, Щербаков М Ю, Захист інформації в компютерних мережах Практичний курс

Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*