Всем привет!
Прошу поделиться опытом настройки SSO и SSL.
Все инструкции, которые нашел в интернете созданы для уже устаревших модулей и пакетов.
Пробовал настраивать как для Apache, так и для Nginx.
Для Apache столкнулся с тем что модуль libapache2-mod-auth-kerb в CentOS Stream 8 (обязательное условие) уже deprecated, а для модуля mod_auth_gssapi инструкции нет. Попробовал настроить самостоятельно, столкнулся с бесконечным запросом авторизации, на сервер так и не заходит.
Для Nginx инструкция с некоторыми доработками прошла до конца, но SSO не работает как нужно и все равно каждый раз в начале сессии запрашивает пароль.
SSL сертификат на обоих движках не проходит проверку.
NGINX
Делал по инструкции https://itdraft.ru/2021/11/19/nastro...a#comment-4124
Все промежуточные проверки успешны. Сертификат выпускал через CA. Keytab успешно авторизует.
krb5.conf
[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log
[libdefaults]
dns_lookup_realm = false
dns_lookup_kdc = false
ticket_lifetime = 24h
renew_lifetime = 7d
forwardable = true
rdns = false
pkinit_anchors = FILE:/etc/pki/tls/certs/ca-bundle.crt
spake_preauth_groups = edwards25519
dns_canonicalize_hostname = fallback
qualify_shortname = ""
default_ccache_name = KEYRING
ersistent:%{uid}
udp_preference_limit = 0
default_realm = TEST.LAB
default_keytab_name = /etc/nginx/zabbix.keytab
[realms]
TEST.LAB = {
kdc = dc01.test.lab
default_domain = TEST.LAB
admin_server = DC01.TEST.LAB
}
[domain_realm]
test.lab = TEST.LAB
.test.lab = TEST.LAB
zabbix.conf
server {
listen 443 ssl;
server_name zbxpg.test.lab;
auth_gss on;
auth_gss_realm TEST.LAB;
auth_gss_keytab /etc/nginx/zabbix.keytab;
auth_gss_service_name "HTTP/zbxpg.test.lab";
auth_gss_allow_basic_fallback on;
ssl_certificate /etc/ssl/certs/test.lab.crt;
ssl_certificate_key /etc/ssl/private/test.lab.key;
Apache
Инструкцию брал отсюда, но она для libapache2-mod-auth-kerb, который заменен http://woshub.com/zabbix-single-sign...irectory/#h2_3
По сертификатам отсюда: https://www.zabbix.com/documentation...best_practices
ssl.conf
DocumentRoot "/usr/share/zabbix"
ServerName zbxtest.test.lab:443
<Location />
AuthType GSSAPI
AuthName "SSO login"
GssapiCredStore keytab:/etc/httpd/zabbix_service.keytab
BrowserMatch Windows gssapi-no-negotiate
GssapiAcceptorName [email protected]
GssapiBasicAuth On
GssapiBasicAuthMech krb5
GssapiAllowedMech krb5
Require valid-user
</Location>
Прошу поделиться опытом настройки SSO и SSL.
Все инструкции, которые нашел в интернете созданы для уже устаревших модулей и пакетов.
Пробовал настраивать как для Apache, так и для Nginx.
Для Apache столкнулся с тем что модуль libapache2-mod-auth-kerb в CentOS Stream 8 (обязательное условие) уже deprecated, а для модуля mod_auth_gssapi инструкции нет. Попробовал настроить самостоятельно, столкнулся с бесконечным запросом авторизации, на сервер так и не заходит.
Для Nginx инструкция с некоторыми доработками прошла до конца, но SSO не работает как нужно и все равно каждый раз в начале сессии запрашивает пароль.
SSL сертификат на обоих движках не проходит проверку.
NGINX
Делал по инструкции https://itdraft.ru/2021/11/19/nastro...a#comment-4124
Все промежуточные проверки успешны. Сертификат выпускал через CA. Keytab успешно авторизует.
krb5.conf
[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log
[libdefaults]
dns_lookup_realm = false
dns_lookup_kdc = false
ticket_lifetime = 24h
renew_lifetime = 7d
forwardable = true
rdns = false
pkinit_anchors = FILE:/etc/pki/tls/certs/ca-bundle.crt
spake_preauth_groups = edwards25519
dns_canonicalize_hostname = fallback
qualify_shortname = ""
default_ccache_name = KEYRING
ersistent:%{uid}udp_preference_limit = 0
default_realm = TEST.LAB
default_keytab_name = /etc/nginx/zabbix.keytab
[realms]
TEST.LAB = {
kdc = dc01.test.lab
default_domain = TEST.LAB
admin_server = DC01.TEST.LAB
}
[domain_realm]
test.lab = TEST.LAB
.test.lab = TEST.LAB
zabbix.conf
server {
listen 443 ssl;
server_name zbxpg.test.lab;
auth_gss on;
auth_gss_realm TEST.LAB;
auth_gss_keytab /etc/nginx/zabbix.keytab;
auth_gss_service_name "HTTP/zbxpg.test.lab";
auth_gss_allow_basic_fallback on;
ssl_certificate /etc/ssl/certs/test.lab.crt;
ssl_certificate_key /etc/ssl/private/test.lab.key;
Apache
Инструкцию брал отсюда, но она для libapache2-mod-auth-kerb, который заменен http://woshub.com/zabbix-single-sign...irectory/#h2_3
По сертификатам отсюда: https://www.zabbix.com/documentation...best_practices
ssl.conf
DocumentRoot "/usr/share/zabbix"
ServerName zbxtest.test.lab:443
<Location />
AuthType GSSAPI
AuthName "SSO login"
GssapiCredStore keytab:/etc/httpd/zabbix_service.keytab
BrowserMatch Windows gssapi-no-negotiate
GssapiAcceptorName [email protected]
GssapiBasicAuth On
GssapiBasicAuthMech krb5
GssapiAllowedMech krb5
Require valid-user
</Location>