シングルサインオン、またはダンシングシックス

この記事はもともと自分のためのメモとして書かれたものですが、同僚からの絶え間ない要望に応じて、1年半後、勇気を集めて出版しました。

資料は散文的ですが、誰かに役立つかもしれません。とても嬉しいです。 建設的なアドバイスとフィードバックにさらに感謝します。

そのため、私たちのトピックは、 「モットリングと通常のシャギーシステム動物園の条件でWebアプリケーションにシングルサインオンを実装する方法」です。

シングルサインオン。 入門

誰に信頼されているので、すべてに信頼してください。

©Cecilius Stacii

知識のない人（この資料を読む可能性は低いですが）については、シングルサインオン（以下「SSO」と呼びます）は、技術でも魔法のプロトコルでもないものとして一般に受け入れられていると思います。 SSOは、エンドユーザーからの追加のジェスチャなしで、異種システムとアプリケーション間のAAA（認証と承認とアカウンティング）接続の実装を可能にする手法です。

典型的なSSOの例は、たとえば、完全にマイクロソフト製品で構築されたソリューションです。 この場合、Active Directoryサーバーはディレクトリのストレージを提供するだけでなく、ドメインに接続されたワークステーション、それらにインストールされたソフトウェア、その他すべてのハードウェアに至るまでの動作を制御します（政治家による同じUSBの禁止方法はすべて知っています）。 この状況でのエンドツーエンドのAAAパラダイムは、Microsoft製品を使用する場合、つまり同種の環境でほぼ自動的に提供されます。

AAA透過性に関する異種IT構造はやや複雑ですが、この環境用に多くの実装方法が既に開発されており、多くの実装方法があります。

例として：

• 有名なAtlassian社は、このような問題を解決する実績のあるAtlassian Crowd製品を搭載していますが、この会社のソフトウェア製品の特定のラインに合わせて調整されています。
• 私たちの多くはState Service Portalを使用しており、納税者である私たち全員が、State Service Portalを介してnalog.ru Webサイトで認証を利用できることを知っています。
• 逆説的ですが、驚くほど頻繁な認証オプション：「Googleにアクセスし、次にGoogle経由の認証でFacebookに行き、次にFacebook経由の認証でAliExpressに行きます。」

上記の3つのポイントのうち2つはSSOとは関係ありません。

どっち？ :)

公理

この記事のフレームワークでは 、 SSOはイントラネット内（企業環境内）でのみ実装および動作し、同時に十分な信頼性、フォールトトレランス、およびセキュリティを提供することを受け入れます。

挑戦する

入り口には次のものがあります。

• InterSystemsプラットフォーム上に構築されたWebアプリケーション。
• 回転しているLinuxサーバー。 サーバーは、お客様のイントラネットにあります。
• 有能なドメインフォレストと多数のコントローラーに関する非常によく調整されたグループポリシーを含む、開発されたマイクロソフトのインフラストラクチャ。
• 親愛なるお客様、キーフレーズ「それは必要です！」と「昨日準備ができている！」
• そして、幸いなことに、本格的なテストサーバーなので、展開する場所があります。

以下に説明する方法に加えて、この問題を解決するためのより簡単な方法があることをすぐに予約しますが、私たちはそれらを探していません。 まあ、顧客の要件は最も明確ではなかった。

それでは始めましょう！

ペンギンと踊る。 Linux

ドメイン：真核生物、王国：動物、サブドメイン：ユーメタゾイ、タイプ：脊索動物門、サブタイプ：脊椎動物、インフラタイプ：上顎、スーパークラス：四足、クラス：鳥、サブクラス：新生児、分隊：ペンギンのような、家族：ペンギン、タイプ：Oracleサーバーリリース7.2

設置

Oracle Linux Serverリリース7.2という名前で、本格的なRHELの子孫/クローンを得ました。

カスタマイズ

いつものように、サーバー形式のLinuxはシンプルで気楽でアップタイムですが、特にネットワーク設定に関しては、Linuxが正しく構成されていることを確認することが重要です。

テスト中

まず、DNS設定を見てください。 これは、ソリューション全体が機能するために重要です。

[root@my-test-server ~]# cat /etc/resolv.conf # Generated by NetworkManager search my-domain.ru nameserver 172.16.0.1 nameserver 172.16.0.2
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

この段階では、DNSサーバー（この場合はドメインコントローラーでもある）の可用性を確認する必要があります。 さまざまな方法でこれを行うことができます。お気に入りのユーティリティと検証方法（host、dig、telnet、pingなど）を使用するだけです。 必要なポートがアクセス可能で機能していることが重要です。DNSの場合、これは主にTCP / 53です。 また、ICMPを含むすべてを閉じ、要求され同意されたポートを数個だけ残すことができるネットワーク管理者と警備員（私自身）の犠牲と欲望を忘れないでください。 何が正しい。

犬のワルツ。 Kerberos

ケルベロス、ケルベロス（他のギリシャ語Κέρβεερος、lat。Cerberusから）-ギリシャ神話では、口から流れる有毒混合物を含む3頭の犬であるTyphonとEchidna（TartarusとGaia）の製品です。 ケルベロスは死んだハデスの王国からの出口を守り、死者が生きている世界に戻ることを許しませんでした。 しかし、この驚くほど強力なクリーチャーは、彼のエクスプロイトの1つでヘラクレスに敗れました。

MSADとの「実り多い協力」のためにKerberosを正しく構成する必要性について思い出す必要はないと確信しています。

もちろん、インストールして設定するには、サーバーのルート権限が必要です。 またはsudo。 または「コールサウル」。

設置

「悪ネットワーク管理者」がサーバーにインターネットへのアクセスを許可した場合、必要なパッケージのインストールと構成は非常に簡単です。

残念ながら、良い管理者が事前にすべてをインストールしなかった場合、リポジトリへのアクセスを備えたインターネットがインストール段階で必要です。

また、アクセスするパッケージやインストールされているパッケージがない場合は、すべてが悲しくなります。

ただし、楽観的になり、管理者が少なくとも1時間チャネルを開いたことを考慮して、インストールを実行します。

 [root@my-test-server ~]# yum install krb5-workstation  : ulninfo   -->   --->  krb5-workstation.x86_64 0:1.14.1-26.el7    -->  : libkadm5(x86-64) = 1.14.1-26.el7 : krb5-workstation-1.14.1-26.el7.x86_64 -->  : krb5-libs(x86-64) = 1.14.1-26.el7 : krb5-workstation-1.14.1-26.el7.x86_64 -->  : libkadm5srv_mit.so.10(kadm5srv_mit_10_MIT)(64bit) : krb5-workstation-1.14.1-26.el7.x86_64 -->  : libkadm5srv_mit.so.10()(64bit) : krb5-workstation-1.14.1-26.el7.x86_64 -->   --->  krb5-libs.x86_64 0:1.13.2-10.el7    --->  krb5-libs.x86_64 0:1.14.1-26.el7    --->  libkadm5.x86_64 0:1.14.1-26.el7    -->      ============================================================== Package     ============================================================== : krb5-workstation x86_64 1.14.1-26.el7 ol7_latest 772 k  : libkadm5 x86_64 1.14.1-26.el7 ol7_latest 172 k  : krb5-libs x86_64 1.14.1-26.el7 ol7_latest 741 k    ====+++++=============================================  1  (+1 )  ( 1 )  : 1.6 M Is this ok [y/d/N]: y Downloading packages: No Presto metadata available for ol7_latest (1/3): krb5-libs-1.14.1-26.el7.x86_64.rpm | 741 kB 00:00:00 (2/3): libkadm5-1.14.1-26.el7.x86_64.rpm | 172 kB 00:00:00 (3/3): krb5-workstation-1.14.1-26.el7.x86_64.rpm | 772 kB 00:00:00 --------------------------------------------------------------------------------   3.9 MB/s | 1.6 MB 00:00:00 Running transaction check Running transaction test Transaction test succeeded Running transaction  : krb5-libs-1.14.1-26.el7.x86_64 1/4  : libkadm5-1.14.1-26.el7.x86_64 2/4  : krb5-workstation-1.14.1-26.el7.x86_64 3/4  : krb5-libs-1.13.2-10.el7.x86_64 4/4  : krb5-libs-1.14.1-26.el7.x86_64 1/4  : libkadm5-1.14.1-26.el7.x86_64 2/4  : krb5-workstation-1.14.1-26.el7.x86_64 3/4  : krb5-libs-1.13.2-10.el7.x86_64 4/4 : krb5-workstation.x86_64 0:1.14.1-26.el7  : libkadm5.x86_64 0:1.14.1-26.el7  : krb5-libs.x86_64 0:1.14.1-26.el7 !
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

もちろん、使用するパッケージマネージャーとそのバージョンの両方が異なる場合がありますが、これにより問題の本質は変わりません。

そして、 はい、私はこのような些細なインストールの最も完全なリストの多くが記事に表示されないことを約束します。

カスタマイズ

完全に機能するKerberos構成ファイルは、最初は次のようになります。

 [root@my-test-server ~]# cat /etc/krb5.conf [logging] default = FILE:/var/log/krb5libs.log kdc = FILE:/var/log/krb5kdc.log admin_server = FILE:/var/log/kadmind.log [libdefaults] dns_lookup_realm = true ticket_lifetime = 24h renew_lifetime = 7d forwardable = true rdns = false default_realm = MY-DOMAIN.RU default_ccache_name = KEYRING:persistent:%{uid} [realms] MY-DOMAIN.RU = { kdc = ad.my-domain.ru admin_server = ad.my-domain.ru } [domain_realm] .my-domain.ru = MY-DOMAIN.RU my-domain.ru = MY-DOMAIN.RU
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

ad.my-domain.ruは正しいFQDNであり 、解決可能でアクセス可能である必要があります。 これは重要です！

テスト中

次のステップでは、原則として、すべてが非常に簡単に行われます。

すべてが悪いことを確認してください：

 [root@my-test-server ~]# klist klist: Credentials cache keyring 'persistent:0:0' not found
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

三頭犬の専門家（トップシークレットドメイン管理者ログイン/パスワードを知っているシステム管理者の別名）に電話をかけ、次のような入力を依頼します。

 [root@my-test-server ~]# kinit SuperPuperAdmin Password for SuperPuperAdmin@MY-DOMAIN.RU: ************************
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

その後、klistはすでに意味のあるものを返すはずです。

私たちは犬が完成したと考えていますが...

日産は歩行できないパサートであることはよく知られています。

大平原のダンス。 アパッチ

アパッチは、オンデン家族のアタバスカン支部のアパッチ言語を話す、北米インディアンの文化的に関連するいくつかの部族の総称です。

アパッチ族はハハンという名の息をのむような独自の仮面舞踊を作りました。 アパッチには、ビジョンと予測のためのダンス儀式もあります。

Apache Indiansと一緒に狩りを始めます。

設置

前と同様に、パッケージがすべてです（もちろん、全能の管理者シャーマンを除きます）。

 [root@my-test-server ~]# yum install httpd  : ulninfo   […skipped…] : httpd.x86_64 0:2.4.6-45.0.1.el7  : httpd-tools.x86_64 0:2.4.6-45.0.1.el7 !
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

カスタマイズ

もちろん、これは十分ではありません。新しく設立されたインド人は私たちの言語を知らないからです。 次のように構成します 。

 [root@my-test-server ~]# cat > /etc/httpd/conf.d/ensemble.conf DocumentRoot "/opt/isc/ensemble/csp" CSPModulePath /opt/isc/ensemble/csp/bin/ LoadModule csp_module_sa /opt/isc/ensemble/csp/bin/CSPa24.so User cacheusr Group cacheusr <Location /> CSP On SetHandler csp-handler-sa </Location> ServerName my-test-server.my-domain.ru /> <Directory /> Options MultiViews FollowSymLinks AllowOverride None Require all granted <FilesMatch "\.(log|ini|pid|exe|so)$"> Require all denied </FilesMatch> </Directory> HostnameLookups Off <Location /csp> CSP On SetHandler csp-handler-sa </Location> <Location "/csp/bin/Systems/"> SetHandler cspsys-handler-sa </Location> <Location "/csp/bin/RunTime/"> SetHandler csp-handler-sa </Location> CSPFileTypes csp cls zen cxw Alias /csp/ /opt/isc/ensemble/csp/ <Directory "/opt/isc/ensemble/csp/"> AllowOverride None Options MultiViews FollowSymLinks ExecCGI Require all granted <FilesMatch "\.(log|ini|pid|exe)$"> Require all denied </FilesMatch> </Directory>
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

そして、「お尻に蹴り」を与えます。

 [root@my-test-server ~]# systemctl restart httpd
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

システム管理ポータルにアクセスして、彼がNasvenskyを話すことを学んだことを確認します。

アパッチ族はかつて誇り高き独立した人々だったので、血を流しているので、敬意と礼儀をもって、アパッチにディビナーペンギンと仕事をするよう依頼します。

 [root@my-test-server ~]# systemctl is-enabled httpd disabled [root@my-test-server ~]# systemctl enable httpd Created symlink from /etc/systemd/system/multi-user.target.wants/httpd.service to /usr/lib/systemd/system/httpd.service. [root@my-test-server ~]# systemctl is-enabled httpd enabled
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

「Pioneer Dawn」を聞いて、水の手順を行い、3頭の犬を散歩させ、インド人をとかし、「プロダクション体操」に進みます。これは今日ダンス（そしてタンバリンも含む）になります。

サンバを踊っています！

サンバ（ポート。サンバ）-ブラジル人の民族的アイデンティティの象徴であるブラジルのダンス。 ブラジルのカーニバルのおかげで、ダンスは世界的な名声を得ました。 サンバの種類の1つは、ラテンアメリカの社交ダンスの5つの必須プログラムに含まれていました。 2/4または4/4の量で、1分あたり50〜52ビートのペースで実行されます。

誰もが知っているように、サーバーバージョンでの最愛のSambaは、論理的に3つの実行可能モジュール（smb | nmb | winbind）dに分割されています。

理論的には、有効なwinbinddのみが必要です。 はい、これはSambaデーモンの1つにすぎません。 しかし、パッケージ全体とは別にインストールされた彼は、何らかの理由で既存のプラットフォームで作業したくなかったため、私は彼の不満の理由を既に理解したくありませんでした。

したがって、完全にインストールします。

設置

手順は非常に簡単です。特に、（a）管理者（sha）があなたと踊っている場合。

 [root@my-test-server ~]# yum install samba  : ulninfo   -->   --->  samba.x86_64 0:4.4.4-9.el7    -->    […skipped…]  1  (+12 )  : 6.6 M  : 23 M Is this ok [y/d/N]: y […skipped…] : samba.x86_64 0:4.4.4-9.el7  : libaio.x86_64 0:0.3.109-13.el7 libldb.x86_64 0:1.1.26-1.el7 libtalloc.x86_64 0:2.1.6-1.el7 libtdb.x86_64 0:1.3.8-1.el7_2 libtevent.x86_64 0:0.9.28-1.el7 libwbclient.x86_64 0:4.4.4-9.el7 pytalloc.x86_64 0:2.1.6-1.el7 samba-client-libs.x86_64 0:4.4.4-9.el7 samba-common.noarch 0:4.4.4-9.el7 samba-common-libs.x86_64 0:4.4.4-9.el7 samba-common-tools.x86_64 0:4.4.4-9.el7 samba-libs.x86_64 0:4.4.4-9.el7 !
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

スーツの準備ができたら、ネクタイを締めます：

 [root@my-test-server ~]# yum install samba-winbind […skipped…] : samba-winbind.x86_64 0:4.4.4-9.el7  : samba-winbind-modules.x86_64 0:4.4.4-9.el7 !
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

カスタマイズ

カーニバルに行くだけでは十分ではありません。少し踊る必要もあります（すでにタンバリンで）：

 [root@my-test-server ~]# cat /etc/samba/smb.conf # See smb.conf.example for a more detailed config file or # read the smb.conf manpage. # Run 'testparm' to verify the config is correct after # you modified it. [global] workgroup = AD security = ads server string = my-test-server netbios name = my-test-server security = ads realm = my-domain.ru password server = *
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

最初のステップをリハーサルします（もちろん、最初は間違っています）：

 [root@my-test-server ~]# systemctl restart winbind Job for winbind.service failed because the control process exited with error code. See "systemctl status winbind.service" and "journalctl -xe" for details.
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

私たちはダンス教師の助けを求めます、そして（「私たちにはいくつもの素晴らしい発見があります...」）それは私たちの3頭の子犬を飼いならすのを助けたのと同じ犬のハンドラーであることが判明しました！

 [root@my-test-server ~]# net ads join --U SuperPuperAdmin@my-domain.ru Enter root's password: ************************
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

そして私たちは奇跡を望みます...それはすべて手と彼らが成長する場所に依存します...

「地球上には非常に多くの分離があります。

そして異なる運命

希望は夜明けに与えます。

人へのフェリーマン”

©Prodigy＆Rammstein、2048

その場合、次のように表示されます。

 [root@my-test-server]# net ads info LDAP server: 172.16.0.123 LDAP server name: AD.my-domain.ru Realm: MY-DOMAIN.RU Bind Path: dc=MYDOMAiN,dc=RU LDAP port: 389 Server time: , 33  2049 17:48:12 ATL KDC server: 172.16.0.123 Server time offset: 0
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

幸せはもうすぐそこにあります！

テスト中

私たちはそれを確認します（幸福）

 [root@my-test-server /]# wbinfo -g MYDOMAIN\proverka MYDOMAIN\ MYDOMAIN\ MYDOMAIN\ MYDOMAIN\ MYDOMAIN\ MYDOMAIN\  MYDOMAIN\  MYDOMAIN\ windows MYDOMAIN\ 1c MYDOMAIN\ MYDOMAIN\
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

連絡先があります！

スローモーション。 mod_auth_ntlm_winbind

スローダンスを踊る前に、誰かをそのダンスに招待する必要があります。なぜなら、その下で動くだけでは受け入れられないからです。 瞬間をつかみ、魅力的な女の子に行きます。 スローダンスを踊るつもりなら、不必要な冗長性なしに、潜在的なパートナーに直接あなたの意図を発表してください。 あまりに生意気で断定的ではない、彼女に同意するかどうかの決定を残します。 後者の場合、彼女は拒否しますが、感謝します。

設置

mod_auth_ntlm_winbindを使用して、Webでライブリポジトリを検索します 。

はい、生きている人はほとんどいません（svnから取得しました）。

はい、バージョンはまったく新しいものではありません。

はい、手動で組み立てる必要があります。

はい、全員が集まるわけではありません。

はい、パッチや手動編集の後でも可能です。

はい。アセンブリには、完全に構成された環境（gcc + glib + apxs +ヘッダー+ * -dev + ...）が必要です。

はい、これは私が知っている唯一の安定したオプションです。

カスタマイズ

構成では、すべてが多少基本的であり、Apacheを構成ファイルに追加します（メインファイルまたは必要に応じてconf.d / xyz.confに）：

 <Directory "/opt/isc/ensemble/csp/myapp/"> AuthName "NTLM my-domain.ru" NegotiateAuth on NegotiateAuthHelper "/usr/bin/ntlm_auth --helper-protocol=gss-spnego" NTLMBasicAuthoritative on AuthType Negotiate require valid-user #LogLevel debug ##    </Directory>
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

もちろん、他のすべてのパラメーターと同様に、インストール用にパスを正しく指定する必要があります。

最初のデバッグでは、 LogLevel行のコメントを解除することをお勧めします。追加すると、場合によっては非常に役立つメッセージがApacheログファイルに書き込まれます。

白いダンス。 誰が誰？

Leicht versprochen、leicht gebrochen。

非常に論理的で非常にタイムリーに（記事の終わりまでに！）質問「これはすべて一体何をしたのですか？」これはすべて、HTTPサーバー応答の1行のためだけだと答えます！

蜂蜜の樽

次のように、Webサーバーによって自動的に送信される正しいREMOTE_USER（またはHTTP_REMOTE_USER-関係ありません）が必要です。

1. ドメインアカウントでWindowsに正常にログインしたユーザー、
2. MSADのすべてのチェックに合格した、
3. その後、Webブラウザを使用して、インターシステムズ製品の1つで開発されたアプリケーションにアクセスしました。
4. ドメインに含まれているLinuxサーバーにインストールされている
5. 必要なモジュールを備えたApache Webサーバーがインストールおよび構成されている場所
6. ユーザーアカウントのドメイン名（sAMAccountName）を返しました。

そして、我々はそれを得る！

その後、サーバー側で、ADへのLDAPアクセスなどを使用して、このユーザーの他の詳細（グループメンバーシップなど）を簡単に要求できます。

このメカニズムについては別の記事が計画されており、独自の微妙な点があります。

スプーン2杯のタール

• これまでのところ、MSのブラウザ（IE、Edge）のみがNTLMでネイティブに動作します（NTMLを使用しています）。 ただし、FireFoxとChromeの両方にカスタマイズのオプションがあり、さらに、企業環境では、グループポリシーを使用した集中設定と事前設定済みパッケージの配布の両方が可能です。
• InterSystemsCaché側で受信したREMOTE_USERの処理を誰もがすぐに理解できるわけではありません。 このテーマについてはまだ全会一致の意見はありませんが、 ％session.Login（）への後続の呼び出しですべてのユーザーを1つのスーパーシークレットパスワードに設定し、ユーザーロールセキュリティモデルを作成することから始めて、多くの異なるオプションがあります。 議論のトピックがあります！

シングルサインオン。 出力

コメントでもっと成功した設定を教えてくれたらとても感謝しています。 Linux + Apache + MSADバンドルに新しいAAAインタラクションメカニズムが登場したことも認めていますが、これについては知りません。

よろしくお願いします！