- PR -

ApacheでKerberos認証について

1
投稿者投稿内容
miura
会議室デビュー日: 2004/12/27
投稿数: 19
投稿日時: 2006-05-02 14:44
環境 Kerberos5(MIT)、Apache2.51、TurboLinux 10 Server

質問です。

Apacheでの認証にKerberos認証を使うというのは
会員性のサイトにログインするために使用するものなのか、それとも自ドメイン
(LANネットワーク)にいるユーザにログインを許可し、特定のサービスを使う許可を
与える為に使用するのか、どちらなのでしょうか?それとも両方可能でしょうか?
やりたいのは、前者のほうです。mod_auth_kerbモジュールのINSTALLを読んでもどちらとも
とれるので悩んでいるところです。

ただ、前者の方が可能だとした時の問題点として、何千人もいる会員にktadd、ankコマンドで追加するのは面倒だなというのも有りますし、一回ログインしたら8時間も有効になりますが、Webにおいてはセッションが切れるたびに無効に出来るかなど疑問点も挙がってきます。

ご存知の方がいらしたら、お願い致します。
加納正和
ぬし
会議室デビュー日: 2004/01/28
投稿数: 332
お住まい・勤務地: 首都圏
投稿日時: 2006-05-04 14:32
引用:

miuraさんの書き込み (2006-05-02 14:44) より:
環境 Kerberos5(MIT)、Apache2.51、TurboLinux 10 Server

質問です。

会員性のサイトにログインするために使用するものなのか、それとも自ドメイン
(LANネットワーク)にいるユーザにログインを許可し、特定のサービスを使う許可を
与える為に使用するのか、どちらなのでしょうか?それとも両方可能でしょうか?


Kerberos認証は何でも可能ですが、大抵の場合後者です。
でも前者にも使えるといえば使えます。後者に使えて、前者に使えない機能というのは不思議ですし。認証(?)しないと、まずその認証した人、というのが分からないですから。

引用:

やりたいのは、前者のほうです。mod_auth_kerbモジュールのINSTALLを読んでもどちらとも
とれるので悩んでいるところです。

ただ、前者の方が可能だとした時の問題点として、何千人もいる会員にktadd、ankコマンドで追加するのは面倒だなというのも有りますし、一回ログインしたら8時間も有効になりますが、Webにおいてはセッションが切れるたびに無効に出来るかなど疑問点も挙がってきます。

ご存知の方がいらしたら、お願い致します。


問題点は、そもそもたくさんあると思いますが、、ktaddはシェルスクリプトでやるとして、それでは保守できないと思います。(で、大抵ADを使う、と。もちろんWindows OSにする。だから高いんだよ、、Windows 2003 Serverって。)

Kerberosは多数のサービス(サーバ)があることを前提に設計されてるので
ひとつだけだと単に不便なだけだと思います。要件によりますが。

あとKerberosの最大欠点は、「クライアント」も(もちろんサーバも)kerberos対応
しないと使えないことだと思いますが。つまりぶっちゃけIEは使えません。Firefoxは
使える?無理かなぁ。。プラグインで可能である可能性はあります。

ということで、Webにおいては、とありますが、その意味のWebとは何を意味するの
でしょう。HTTPじゃないですよね。Kerberosですから。暗号通信してるんですぜ。
もちろん暗号を解くと中身はHTTPかもしれませんが、それとは意味が違います。

で「セッション」というのは・・・。Kerborosの「セッション」は、TCP的な意味に近いのですが。HTTPじゃなくて。

おっと誤解のないように言っておくと、Apacheのkerberosは「認証」しかしません。
「暗号」はしないはずです。kerberosは両方出来るのですが、apacheにはなかったはず。

http://www.rccm.co.jp/~juk/krb/#WinAD

これ見たほうが早いのかな。
miura
会議室デビュー日: 2004/12/27
投稿数: 19
投稿日時: 2006-05-09 18:40
加納さん、ありがとうございます。

>ということで、Webにおいては、とありますが、その意味のWebとは何を意味するのでしょう。
id、pwを入力してログインするサイトでブラウザを閉じた後、また入る場合はダイアログがでますよね。
単にそういう意味です。


mod_auth_kerbのREADMEを読み返したんですが、このモジュールは2つのメカニズムを提供してますよね。
1つは、Basic Auth mechanism。で、もう1つがNegotiate authentication method。確かに、加納さんが言うように
2つ目のほうは、ブラウザ側(クライアント)もKerberosに対応してないと使えないみたいです。
1つ目の方は、とくに記述がないのでIEでも可能でしょうか?単にid、pwを送信する基本認証だけを行うのは可能なんでしょうか?
また、id、pwはSSLをかますので1つ目の方法でも問題ないと考えております。IEが使えないと云うのは一般のホームページでは
使えないと云うのと同じことなので。

それと、Windowsサーバを使わずにLinuxだけで1つ目の方を出来るんでしょうか?
また、KerberosデータベースをOpenLdapにすることは可能でしょうか?

私の行いたいことをまとめますと
基本認証でユーザ情報をDB、.htaccess、Ldapなどに格納できますがそれをKerberosにして
さらにKerberosデータベースの部分をLdapに出来ないかということです。


解決策をご存知の方がいましたら、ご教授をお願い致します。
加納正和
ぬし
会議室デビュー日: 2004/01/28
投稿数: 332
お住まい・勤務地: 首都圏
投稿日時: 2006-05-09 21:31
引用:

miuraさんの書き込み (2006-05-09 18:40) より:

私の行いたいことをまとめますと
基本認証でユーザ情報をDB、.htaccess、Ldapなどに格納できますがそれをKerberosにして
さらにKerberosデータベースの部分をLdapに出来ないかということです。


基本認証をKerberosにするのは、出来そうですが。
KerberosDBの中身をLdapにするのは、、商用の認証サーバなら出来るのでしょうけど。
#まさにADか(苦笑)
LinuxのKerberosの商用認証サーバも確かあったような。
ってぐぐってみたら、
おお、「Heimdalのデータベースに OpenLDAPを使う」てのがある。

http://www.linet.gr.jp/~juk/puki/?%5B%5BHeimdal-OpenLDAP%5D%5D

だそうです。出来るのかな。
なんかmod_auth_kerb用には逆のような気がするけど、、
いいんだよなぁ。多分。
1

スキルアップ/キャリアアップ(JOB@IT)