Возможно вы искали: 'Catch 'еm'

May 15 2025 18:50:50

Статистика

Статей: 87772
Просмотров: 96111483

Игры

Injustice: Gods Among Us ...
Dark Souls 2 Dark Souls II - вторая часть самой хардкорной ролевой игры 2011-2012 года, с новым героем, сюжето...
Battlefield 4 Battlefield 4 - продолжение венценосного мультиплеер-ориентированного шутера от первого ли...

Кино

Steins;Gate Любители японской анимации уже давно поняли ,что аниме сериалы могут дать порой гораздо больше пи...
Ку! Кин-дза-дза Начинающий диджей Толик и всемирно известный виолончелист Владимир Чижов встречают на шумной моск...

Обзоры на игры

• Обзор Ibara [PCB/PS2]	18357
• Обзор The Walking ...	18801
• Обзор DMC: Devil M...	19879
• Обзор на игру Valk...	15877
• Обзор на игру Stars!	17764
• Обзор на Far Cry 3	17948
• Обзор на Resident ...	16024
• Обзор на Chivalry:...	17508
• Обзор на игру Kerb...	17981
• Обзор игры 007: Fr...	16619

Превью о играх

• Превью к игре Comp...	17960
• Превью о игре Mage...	14464
• Превью Incredible ...	14721
• Превью Firefall	13479
• Превью Dead Space 3	16334
• Превью о игре SimC...	14730
• Превью к игре Fuse	15442
• Превью Red Orche...	15542
• Превью Gothic 3	16343
• Превью Black & W...	17354

Главная » Статьи » Разное » Доступ к Subversion репозитрию для пользователей Windows AD (linux cvs subversion apache kerberos ldap auth windows samba)

Доступ к Subversion репозитрию для пользователей Windows AD (linux cvs subversion apache kerberos ldap auth windows samba)

Ключевые слова: linux, cvs, subversion, apache, kerberos, ldap, auth, windows, samba, (найти похожие документы)

From: dan1005 <dan1005@mail.ru.>
Newsgroups: email
Date: Mon, 5 Jun 2007 14:31:37 +0000 (UTC)
Subject: Доступ к Subversion репозитрию для пользователей Windows AD

Subversion + Apache2.2 + LDAP + Kerberos (AD)

Web-сервер Apache и хранилище Subversion базируются на Debian.
Обращение к репозитарию происходит из домена MS.
Цель - сделать прозрачный доступ к хранилищу пользователям из домена, с
учётом разграничения прав доступа.

ПО:

* Debian 4.1.1-21
* Apache/2.2.3
* Subversion 1.4.4
* libsasl2-gssapi-mit - пакет, устанавливаемый на Debian
* kftgt - пакет, устанавливаемый на Debian.

Apache 2.2 модули:

* dav_svn.load
* libapache2-mod-auth-kerb
* authnz_ldap.load
* ldap.load

На Windows платформе:

* Windows Services for UNIX
* ADSI Scriptomatic 2.5
* TortoiseSVN 1.4.4

Модули Apache устанавливаются по умолчанию. При использовании Debian это
достаточно просто. Например, для dav_svn.load:

debian::/# apt-cache search dav_svn
libapache2-svn - Subversion server modules for Apache
debian::/# aptitude install libapache2-svn

Windows Services for UNIX (SFU) устанавливается на контроллере домена.
ADSI используется для получения более развёрнутой информации об AD.
TortoiseSVN - Клиент Subversion для Windows

Для подключения установленных модулей к Apache, при необходимости, нужно
сделать символические ссылки:

debian:/etc/apache2/mods-enabled# ls -l

auth_kerb.load -> ../mods-available/auth_kerb.load
ldap.load -> /etc/apache2/mods-available/ldap.load
authnz_ldap.load -> /etc/apache2/mods-available/authnz_ldap.load
dav.load -> ../mods-available/dav.load
dav_svn.conf -> ../mods-available/dav_svn.conf
dav_svn.load -> ../mods-available/dav_svn.load

Настройка Kerberos

Для корректной работы аутентификации через Kerberos необходимо настроить
синхронизацию времени web-сервера и контроллера домена (например,
используя cron).

Настройка клиента Kerberos вполне стандартна (/etc/krb5.conf).
Предположим, что имя контроллера домена AD - dc.example.com:

[libdefaults]
default_realm = EXAMPLE.COM
default_keytab_name = FILE:/etc/krb5.keytab

default_tgs_enctypes = des-cbc-crc des-cbc-md5
default_tkt_enctypes = des-cbc-crc des-cbc-md5
[realms]
EXAMPLE.COM = {
kdc = dc.example.com
admin_server = dc.example.com
}
[domain_realm]
example.com = EXAMPLE.COM
.example.com = EXAMPLE.COM

Проверить настройки можно попыткой авторизации доменного пользователя:

debian:/# kinit user
Password for user@EXAMPLE.COM:
debian:/# klist #просмотр выданного билета
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: user@EXAMPLE.COM

Valid starting Expires Service principal
06/22/07 15:12:36 06/23/07 01:13:38 krbtgt/EXAMPLE.COM@EXAMPLE.COM
renew until 06/23/07 15:12:36

Регистрация WEB-сервера в домене

Создание и проверка файлов krb5.keytab и apache.keytab.

Для работы необходимо зарегистрировать web-сервер в домене и получить
для него два ключа: host/debian.example.com@example.com и
HTTP/debian.example.com@example.com. Первый ключ нужен для авторизации
компьютера по ldap, а второй - для авторизации сервиса HTTP.

И хосту и сервису должен быть сопоставлен какой-либо пользователь.
Права - минимально-достаточные, для авторизации в домене.

Причём, учётную запись авторизующую хост, желательно делать в виде
компьютера (контейнер Computers). Например: host_debian, http_debian.

На контроллере домена нужно создать ключи, и зарегистрировать сервис
HTTP/debian.example.com:

C:>
ktpass -princ host/debian.example.com@EXAMPLE.COM -mapuser host_debian@example.com
-crypto DES-CBC-MD5 -ptype KRB5_NT_PRINCIPAL -mapop set +desonly -pass qwerty -out c:host_debian.keytab

ktpass -princ HTTP/debian.example.com@EXAMPLE.COM -mapuser http_debian@example.com
-crypto DES-CBC-MD5 -ptype KRB5_NT_PRINCIPAL -mapop set +desonly -pass qwerty -out c:http_debian.keytab

setspn.exe -A HTTP/debian.example.com http_debian

Далее необходимо полученные файлы передать на web-сервер, и
воспользоваться утилитой ktutil:

ktutil: rkt host_debian.keytab
ktutil: wkt krb5.keytab
ktutil: rkt http_debian.keytab
ktutil: wkt apache.keytab

Проверить запись можно при помощи команды klist:

debian:/# klist -k /etc/krb5.keytab
Keytab name: FILE:/etc/krb5.keytab
KVNO Principal
------ 11 host/debian.example.com@EXAMPLE.COM

После чего желательно убедиться, что ключи работоспособны:

kinit -t krb5.keytab -k host/debian.example.com@EXAMPLE.COM
kinit -t apache.keytab -k HTTP/debian.example.com@EXAMPLE.COM

Обе команды должны отработать тихо и бесшумно. Без вывода каких-либо
ошибок на экран.
Файлам необходимо дать права на чтение для Apache:

chown www-data:www-data /etc/apache.keytab
chown www-data:www-data /etc/krb5.keytab

Настройка LDAP

Настройка Ldap сводится к установке соответствующего модуля и правки
конфига /etc/ldap/ldap.conf:

BASE DC=EXAMPLE,DC=COM
URI ldap://dc.example.com

REFERRALS off

searchmode

S
ldapservers:dc.example.com
binddn:CN=host_debian,CN=Users,DC=EXAMPLE,DC=COM
#bindpwd:qwerty # при использовании Kerberos, здесь указывать пароль не потребуется
userbasedn:CN=Users,DC=EXAMPLE,DC=COM

Конфигурирование Apache

Теперь осталось корректно сконфигурировать /etc/apache2/httpd.conf.

При условии интеграции Kerberos и LDAP, и работы с хранилищем
Subversion, конфиг будет выглядеть следующим образом:

<LocationMatch ^/svn/.*>

KrbAuthoritative Off
# после успешной проверки по Kerberos'у, продолжить проверку на других модулях.
AuthType Kerberos
# задаём тип авторитизации

Krb5Keytab "/etc/apache.keytab"
KrbSaveCredentials On
KrbDelegateBasic On # разрешаем делегировать данные авторизации
KrbMethodNegotiate On # метод аутенфикации, обеспечивающий прозрачный вход из домена
KrbServiceName "HTTP/debian.example.com@EXAMPLE.COM"

AuthBasicProvider ldap
AuthName "Subversion repository"
AuthLDAPURL "ldap://DC.EXAMPLE.COM:389/DC=EXAMPLE,DC=COM?userPrincipalName?sub?(objectClass=*)" NONE
# поиск аккаунта в хранилище AD, по данным, переданным из Kerberos'a
AuthLDAPBindDN "CN=http_debian,CN=Users,DC=EXAMPLE,DC=COM"
AuthLDAPBindPassword qwerty
# учётные данные, под которыми Apache может биндиться к контроллеру домена

<Limit PROPPATCH DELETE MERGE PUT POST MKCOL MKACTIVITY COPY MOVE LOCK UNLOCK>
Require ldap-group cn=SVN-WRITE,CN=Users,DC=EXAMPLE,DC=COM
</Limit>
# разграничение прав доступа с учётом групп безопасности из AD
<Limit GET PROPFIND>
Require ldap-group cn=SVN-READ,CN=Users,DC=EXAMPLE,DC=COM
</Limit>
</LocationMatch>

<Location /svn>
DAV svn
SVNPath /home/repository
# место положение хранилища Subversion
SVNPathAuthz on
AuthzSVNAnonymous Off
# запрет доступа анонимным пользователям
</Location>

Дополнительную информацию о параметрах и функциях подключенных модулей
Apache, можно получить используя mod_info.so.

После подключения модуля, необходимо добавить в /etc/apache2/httpd.conf
следующие строки:

<Location /info>
SetHandler server-info
</Location>

Доступ к странице возможен по ссылке http://debian.example.com/info

Ссылки

HTML:
[BB Url]:

Похожие статьи
Название	Добавил	Добавлено
• Доступ к Subversion репозитрию для ...	Vova	08.05.2012

Ни одного комментария? Будешь первым :).

Пожалуйста, авторизуйтесь для добавления комментария.

Статьи

Рецензия на Pressure Чтобы обратить на себя внимание, начинающие маленькие разработчики, как правило, уходят в жанры, ...
Рецензия на Lost Chron... Игры, сделанные без любви и старания, похожи на воздушный шар – оболочка есть, а внутри пусто. Lo...
Рецензия на The Bridge «Верх» и «низ» в The Bridge — понятия относительные. Прогуливаясь под аркой, можно запросто перей...
Рецензия на SimCity Когда месяц назад состоялся релиз SimCity, по Сети прокатилось цунами народного гнева – глупые ош...
Рецензия на Strategy &... Название Strategy & Tactics: World War II вряд ли кому-то знакомо. Зато одного взгляда на ее скри...
Рецензия на игру Scrib... По сложившейся традиции в информационной карточке игры мы приводим в пример несколько похожих игр...
Рецензия на игру Walki... Зомби и продукция-по-лицензии — которые и сами по себе не лучшие представители игровой биосферы —...