LAB Linux in heterogenen Netzen Apache2 Kerberos: Unterschied zwischen den Versionen

Aus Xinux Wiki
Zur Navigation springen Zur Suche springen
 
(20 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 21: Zeile 21:
  
 
= Installation verschiedener Pakete =
 
= Installation verschiedener Pakete =
* sudo apt-get install apache2 libapache2-mod-auth-kerb krb5-user
+
* '''sudo apt-get install apache2 libapache2-mod-auth-gssapi krb5-user'''
  
 
== Kerberos konfigurieren ==
 
== Kerberos konfigurieren ==
=== Kerberos-Client-Installation ===
 
* sudo apt-get install krb5-user
 
  
 
=== /etc/krb5.conf bearbeiten ===
 
=== /etc/krb5.conf bearbeiten ===
Zeile 47: Zeile 45:
 
</pre>
 
</pre>
  
== Kerberos-Principal für Apache erstellen ==
+
= '''Auf dem Domaincontroller''' Kerberos-Principal für Apache erstellen =
* kadmin -p administrator/admin
+
:Erstellen
* addprinc -randkey HTTP/webkerberos.lab34.linuggs.de
+
Melde dich auf dem Windows Domaincontroller an und verwende das Tool ktpass.exe, um den Kerberos-Principal zu erstellen und die Keytab-Datei zu generieren.
* ktadd -k /etc/apache2/krb5.keytab HTTP/webkerberos.lab34.linuggs.de
 
  
 +
Führe in einer administrativen Eingabeaufforderung (cmd) folgende Befehle aus:
 +
 +
*'''mkdir C:\temp'''
 +
*'''ktpass /princ HTTP/webkerberos.lab34.linuggs.de@LAB34.LINUGGS.DE /mapuser webservice@lab34.linuggs.de /pass * /out C:\temp\webkerberos.keytab /crypto ALL /ptype KRB5_NT_PRINCIPAL'''
 +
 +
Erläuterung:
 +
* /princ definiert den Kerberos-Principal (HTTP/webkerberos.lab34.linuggs.de@LAB34.LINUGGS.DE)
 +
* /mapuser weist den Principal einem Benutzerkonto in Active Directory zu (webservice@lab34.linuggs.de)
 +
* /pass * wird verwendet, um das Passwort des Benutzers bei der Eingabeaufforderung einzugeben
 +
* /out legt den Speicherort der Keytab-Datei fest (in diesem Beispiel C:\temp\webkerberos.keytab)
 +
* /crypto ALL erlaubt alle Verschlüsselungsmethoden
 +
* /ptype KRB5_NT_PRINCIPAL gibt den Typ des Principals an
 +
 +
;Übertragen
 +
Kopiere die Keytab-Datei vom Domaincontroller auf den Apache-Webserver:
 +
*'''scp C:\temp\webkerberos.keytab kit@webkerberos:/tmp'''
 +
 +
== '''Auf dem Webserver''' Berechtigungen der Keytab-Datei auf dem Apache-Webserver setzen ==
 +
;Setze die richtigen Berechtigungen auf dem Apache-Webserver:
 +
*sudo cp /tmp/webkerberos.keytab /etc/apache2/krb5.keytab
 +
*sudo chmod 600 /etc/apache2/krb5.keytab
 +
*sudo chown www-data:www-data /etc/apache2/krb5.keytab
 +
==GSSAPI==
 +
*[[GSSAPI]]
 
= Apache2 mit Kerberos absichern =
 
= Apache2 mit Kerberos absichern =
 
== Verlinken der Module ==
 
== Verlinken der Module ==
* a2enmod auth_kerb
+
* Aktiviere das GSSAPI-Modul:
 +
<pre>
 +
a2enmod auth_gssapi
 +
</pre>
  
== Wir bearbeiten die Datei ==
+
== Konfiguration der Apache-Website ==
/etc/apache2/sites-enabled/000-default.conf
+
Bearbeite die Datei '''/etc/apache2/sites-enabled/000-default.conf''' und füge folgendes hinzu:
  
 
=== Nur authentifizierte Benutzer dürfen zugreifen ===
 
=== Nur authentifizierte Benutzer dürfen zugreifen ===
Zeile 66: Zeile 90:
 
         ErrorLog ${APACHE_LOG_DIR}/error.log
 
         ErrorLog ${APACHE_LOG_DIR}/error.log
 
         CustomLog ${APACHE_LOG_DIR}/access.log combined
 
         CustomLog ${APACHE_LOG_DIR}/access.log combined
 +
 
         # Kerberos anbinden
 
         # Kerberos anbinden
        <Directory /var/www/html>
+
        <Directory /var/www/html>
            AuthType Kerberos
+
          AuthType GSSAPI
            AuthName "Kerberos Login"
+
          AuthName "Kerberos Login"
            KrbAuthRealms LAB34.LINUGGS.DE
+
          GssapiCredStore keytab:/etc/apache2/krb5.keytab
            KrbServiceName HTTP
+
          GssapiUseSessions on
            Krb5KeyTab /etc/apache2/krb5.keytab
+
          Require valid-user
            KrbMethodNegotiate on
 
            KrbSaveCredentials on
 
            Require valid-user
 
 
         </Directory>
 
         </Directory>
 
</VirtualHost>
 
</VirtualHost>
 +
               
 
</pre>
 
</pre>
 +
;Restart
 +
*systemctl restart apache2
 +
=Auf dem Webserver=
 +
*klist -k /etc/apache2/krb5.keytab
 +
Keytab name: FILE:/etc/apache2/krb5.keytab
 +
KVNO Principal
 +
---- --------------------------------------------------------------------------
 +
    6 HTTP/webkerberos.lab34.linuggs.de@LAB34.LINUGGS.DE
 +
    6 HTTP/webkerberos.lab34.linuggs.de@LAB34.LINUGGS.DE
 +
    6 HTTP/webkerberos.lab34.linuggs.de@LAB34.LINUGGS.DE
 +
    6 HTTP/webkerberos.lab34.linuggs.de@LAB34.LINUGGS.DE
 +
    6 HTTP/webkerberos.lab34.linuggs.de@LAB34.LINUGGS.DE
 +
*Die Zahl 6 steht für die **Key Version Number (KVNO)
 +
*Dies zeigt an, dass dies die 6. Version des Schlüssels für den Principal ist.
 +
*Jedes Mal, wenn ein neuer Schlüssel generiert wird, wird die KVNO erhöht.
 +
*Mehrere Einträge mit KVNO 6 existieren
 +
*Es sind verschiedene Verschlüsselungsalgorithmen für denselben Principal hinterlegt.
  
= Auf HTTPS umstellen =
+
[[Kategorie:KERBEROS]]
* sudo cp fullchain.pem privkey.pem /etc/apache2/
 
* sudo a2enmod ssl
 
 
 
== Wir bearbeiten die Datei ==
 
* sudo vi /etc/apache2/sites-enabled/000-default.conf
 
 
 
'''<IfModule mod_ssl.c>'''
 
  '''<VirtualHost _default_:443>'''
 
        '''ServerName webkerberos.lab34.linuggs.de'''
 
        ServerAdmin technik@lab34.linuggs.de
 
        DocumentRoot /var/www/html
 
        ErrorLog ${APACHE_LOG_DIR}/error.log
 
        CustomLog ${APACHE_LOG_DIR}/access.log combined
 
        '''SSLEngine on'''
 
        '''SSLCertificateFile /etc/apache2/fullchain.pem'''
 
        '''SSLCertificateKeyFile /etc/apache2/privkey.pem'''
 
        # Kerberos anbinden
 
        <Directory /var/www/html>
 
            AuthType Kerberos
 
            AuthName "Kerberos Login"
 
            KrbAuthRealms LAB34.LINUGGS.DE
 
            KrbServiceName HTTP
 
            Krb5KeyTab /etc/apache2/krb5.keytab
 
            KrbMethodNegotiate on
 
            KrbSaveCredentials on
 
            Require valid-user
 
        </Directory>
 
      </VirtualHost>
 
'''</IfModule>'''
 
 
 
= Reload =
 
* sudo systemctl restart apache2
 
 
 
= Checks =
 
; Status?
 
* sudo systemctl status apache2
 
 
 
; Port?
 
* sudo ss -lntp | grep apache2
 
 
 
; Cipher and Protocol
 
* nmap -sV --script ssl-enum-ciphers -p 443 webkerberos.lab34.linuggs.de
 
 
 
; Zertifikat
 
* nmap -sV --script ssl-enum-ciphers -p 443 webkerberos.lab34.linuggs.de
 
 
 
= Weitere Sicherheit =
 
== HTTP abschalten ==
 
'''In der Datei /etc/apache2/ports.conf'''
 
#Listen 80
 
'''auskommentieren'''
 
 
 
; Neustarten
 
* systemctl restart apache2
 
 
 
== Header-Optionen ==
 
; Modul headers laden
 
* sudo a2enmod headers
 
 
 
; Sicherheitsoptionen zusätzlich zu TLS
 
# HSTS aktivieren (1 Jahr) - Erzwingt die Nutzung von HTTPS für 1 Jahr
 
Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains"
 
 
 
# Schutz vor Clickjacking - Verhindert, dass die Webseite in einem iFrame eingebettet wird
 
Header always set X-Frame-Options DENY
 
 
 
# Schutz vor MIME-Sniffing - Erzwingt, dass der Browser den Content-Type strikt beachtet
 
Header always set X-Content-Type-Options nosniff
 
 
 
= Restart =
 
* systemctl restart apache2
 
 
 
= Tests =
 
* curl -sI https://webkerberos.lab34.linuggs.de | egrep "Strict|X-Frame|X-Content"
 
= AppArmor =
 
; Under Construction
 
* [[Apache2 mit AppArmor from the Scratch]]
 

Aktuelle Version vom 10. Oktober 2024, 20:08 Uhr

Ziel

  • Wir wollen einen Apache2-Webserver aufsetzen
  • Diesen wollen wir mit Kerberos zur Authentifizierung gegen die Domain absichern

Aus dem Debian-Template einen Klon erstellen

  • Name: webkerberos
  • Netz: dmz
  • HOSTS: webkerberos.lab34.linuggs.de
  • IPv4: 172.26.55.42/24
  • GWv4: 172.26.55.1
  • NSv4: 172.26.54.2
  • DOM: lab34.linuggs.de
  • IPv6: 2a02:24d8:71:3037::42/64
  • GWv6: 2a02:24d8:71:3037::1
  • NSv6: 2a02:24d8:71:3036::2

Auf dem Domaincontroller

  • A-Record eintragen
  • AAAA-Record eintragen
  • PTR-Record automatisch erstellen lassen

Installation verschiedener Pakete

  • sudo apt-get install apache2 libapache2-mod-auth-gssapi krb5-user

Kerberos konfigurieren

/etc/krb5.conf bearbeiten

[libdefaults]
    default_realm = LAB34.LINUGGS.DE
    dns_lookup_realm = false
    dns_lookup_kdc = true
    rdns = false
    forwardable = true

[realms]
    LAB34.LINUGGS.DE = {
        kdc = win2022.lab34.linuggs.de
        admin_server = win2022.lab34.linuggs.de
    }

[domain_realm]
    .lab34.linuggs.de = LAB34.LINUGGS.DE
    lab34.linuggs.de = LAB34.LINUGGS.DE

Auf dem Domaincontroller Kerberos-Principal für Apache erstellen

Erstellen

Melde dich auf dem Windows Domaincontroller an und verwende das Tool ktpass.exe, um den Kerberos-Principal zu erstellen und die Keytab-Datei zu generieren.

Führe in einer administrativen Eingabeaufforderung (cmd) folgende Befehle aus:

  • mkdir C:\temp
  • ktpass /princ HTTP/webkerberos.lab34.linuggs.de@LAB34.LINUGGS.DE /mapuser webservice@lab34.linuggs.de /pass * /out C:\temp\webkerberos.keytab /crypto ALL /ptype KRB5_NT_PRINCIPAL

Erläuterung:

  • /princ definiert den Kerberos-Principal (HTTP/webkerberos.lab34.linuggs.de@LAB34.LINUGGS.DE)
  • /mapuser weist den Principal einem Benutzerkonto in Active Directory zu (webservice@lab34.linuggs.de)
  • /pass * wird verwendet, um das Passwort des Benutzers bei der Eingabeaufforderung einzugeben
  • /out legt den Speicherort der Keytab-Datei fest (in diesem Beispiel C:\temp\webkerberos.keytab)
  • /crypto ALL erlaubt alle Verschlüsselungsmethoden
  • /ptype KRB5_NT_PRINCIPAL gibt den Typ des Principals an
Übertragen

Kopiere die Keytab-Datei vom Domaincontroller auf den Apache-Webserver:

  • scp C:\temp\webkerberos.keytab kit@webkerberos:/tmp

Auf dem Webserver Berechtigungen der Keytab-Datei auf dem Apache-Webserver setzen

Setze die richtigen Berechtigungen auf dem Apache-Webserver
  • sudo cp /tmp/webkerberos.keytab /etc/apache2/krb5.keytab
  • sudo chmod 600 /etc/apache2/krb5.keytab
  • sudo chown www-data:www-data /etc/apache2/krb5.keytab

GSSAPI

Apache2 mit Kerberos absichern

Verlinken der Module

  • Aktiviere das GSSAPI-Modul:
a2enmod auth_gssapi

Konfiguration der Apache-Website

Bearbeite die Datei /etc/apache2/sites-enabled/000-default.conf und füge folgendes hinzu:

Nur authentifizierte Benutzer dürfen zugreifen

<VirtualHost *:80>
        ServerAdmin technik@lab34.linuggs.de
        DocumentRoot /var/www/html
        ErrorLog ${APACHE_LOG_DIR}/error.log
        CustomLog ${APACHE_LOG_DIR}/access.log combined

        # Kerberos anbinden
         <Directory /var/www/html>
          AuthType GSSAPI
          AuthName "Kerberos Login"
          GssapiCredStore keytab:/etc/apache2/krb5.keytab
          GssapiUseSessions on
          Require valid-user
        </Directory>
</VirtualHost>
Restart
  • systemctl restart apache2

Auf dem Webserver

  • klist -k /etc/apache2/krb5.keytab
Keytab name: FILE:/etc/apache2/krb5.keytab
KVNO Principal
---- --------------------------------------------------------------------------
   6 HTTP/webkerberos.lab34.linuggs.de@LAB34.LINUGGS.DE
   6 HTTP/webkerberos.lab34.linuggs.de@LAB34.LINUGGS.DE
   6 HTTP/webkerberos.lab34.linuggs.de@LAB34.LINUGGS.DE
   6 HTTP/webkerberos.lab34.linuggs.de@LAB34.LINUGGS.DE
   6 HTTP/webkerberos.lab34.linuggs.de@LAB34.LINUGGS.DE
  • Die Zahl 6 steht für die **Key Version Number (KVNO)
  • Dies zeigt an, dass dies die 6. Version des Schlüssels für den Principal ist.
  • Jedes Mal, wenn ein neuer Schlüssel generiert wird, wird die KVNO erhöht.
  • Mehrere Einträge mit KVNO 6 existieren
  • Es sind verschiedene Verschlüsselungsalgorithmen für denselben Principal hinterlegt.
Abgerufen von „http://wiki.ixheim.de/index.php?title=LAB_Linux_in_heterogenen_Netzen_Apache2_Kerberos&oldid=57579