活动目录环境下Apache单点登录(SSO)的实现

1、实验环境

2、实验目的

为了保证数据的安全，需要在Apache上做身份验证，如果用传统的Apache的认证机制的话就会给用户带来麻烦，因为用户要输入额外的用户名和密码来登录网站。最理想的方式就是在公司内网里用户不用输入用户名和密码，可以直接登录；从互联网访问时，则需要输入用户名和密码，而这个账户密码就是登录公司域的账户名和密码。

3、实现原理

用户登录活动目录时使用的是Kerberos协议，因此Apache的验证方式就使用Kerberos协议，用户登录活动目录后会获得一个Kerberos票据，这个Kerberos票据就可以用来登录Apache，如果用户不在公司内网里，在登录Apache时只需要输入活动目录的用户名和密码即可。

4、实现步骤

a. 安装Apache，PHP，mod_auth_kerb

PHP环境根据需要安装，mod_auth_kerb就是Apache的Kerberos认证模块，配置好YUM仓库后可以使用yum工具来安装，也可以直接使用rpm命令:

[root@test ~]#yum    install    httpd    php*   mod_auth_kerb   -y

b.配置Kerberos

使用vim编辑/etc/krb5.conf文件，该文件是参照example.com域来配置的，把example.com全部替换成自己的域名即可，注意Kerberos是区分大小写的，需要修改的内容如下：

设置好Kerberos后，可以验证一下配置是否正确，使用kinit命令,参数为AD中的一个账户

注意大小写，该命令会提示你输入密码，命令成功执行后不会有任何提示，可以使用klist命令查看获得的Kerberos票据

命令成功执行后，将c:\apache.keytab文件拷贝到WEB服务器，确保apache进程对该文件有读权限。

d.配置httpd.conf使用mod_auth_kerb模块进行身份验证

e.配置IE浏览器

5、测试

到此，实验完成，域内用户访问不需要输入密码，不在域内或未登录域访问只需输入域账号密码即可。可以使用下面这段PHP代码测试：

      <?php
           echo "You have log in as ".$_SERVER['REMOTE_USER'];
       ?>