LinuxのApacheでADを利用したシングルサインオン

概要

http://d.hatena.ne.jp/rx7/20090318/p1

ADへ参加する

Linux で AD参加 を参考に LinuxサーバをADに参加させる

mod_auth_ntlm_winbindのインストール

 httpd-develのインストール

yum install httpd-devel

 mod_auth_ntlm_winbindのインストール

mod_auth_ntlm_winbind.zip(675) を解凍する。

 autoconf
./configure
make
make install

makeが失敗する場合は

apxs -DAPACHE2 -c -i mod_auth_ntlm_winbind.c

でコンパイルする。

Apacheの設定

 LoadModuleの追記

/etc/httpd/conf/httpd.conf
か
/etc/httpd/conf.d/auth_ntlm_winbind.conf
あたりを作成し、以下を追記する。

LoadModule auth_ntlm_winbind_module /usr/lib64/httpd/modules/mod_auth_ntlm_winbind.so

 httpd.conf の編集

KeepAlive On

が必須なので、Offになっていたら On にする。

winbindd_privilegedのパーミッション変更

/var/lib/samba/winbindd_privileged に apacheデーモンのアクセス許可が必要になる。

chgrp apache /var/lib/samba/winbindd_privileged

公開ディレクトリの設定

/var/www/html/auth のアクセスの際に認証する場合

httpd.conf

<Directory "/var/www/html/auth">
  NTLMAuth on
  AuthType NTLM
  AuthName "NTLM Authentication"
  NTLMAuthHelper "/usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp"
  NTLMBasicAuthoritative on
  require valid-user
</Directory>

シングルサインオンするには、IEの信頼サイトとして登録するか

http://Linuxサーバ名.ドメイン

でアクセスする必要がある。