Для того чтобы подключиться из браузера в Windows домене сквозной авторизацией к Apache web-серверу на Linux-сервере, используя Kerberos, необходимо выполнить следующие шаги: 1. Настроить SSO (Single Sign-On) на сервере Windows: - Убедитесь, что контроллер домена Windows настроен для поддержки Kerberos-аутентификации. - Создайте служебный пользователь в Active Directory для сервера Linux. - Укажите сервисный принципал имени служебного пользователя в Active Directory. 2. Настроить Kerberos на сервере Linux: - Установите пакеты, связанные с Kerberos, на сервере Linux. - Создайте файл `keytab` для сервисного принципала, который требуется на сервере Linux. Например, для Apache это может быть `HTTP/linux-server.example.com`. - Настройте файл конфигурации Kerberos (`krb5.conf`) на сервере Linux. Укажите реалм, KDC (Доменный контроллер), а также расположение `keytab`-файлы. 3. Настройте Apache-сервер: - Убедитесь, что на сервере установлен модуль аутентификации `mod_auth_kerb` для Apache. - Настройте файл конфигурации Apache (`httpd.conf`, либо `.htaccess`) для использования авторизации Kerberos. Примеры директив:

     Krb5Keytab /etc/krb5.keytab
     KrbServiceName HTTP/linux-server.example.com
     KrbAuthRealms EXAMPLE.COM
     KrbMethodK5Passwd Off
     KrbSaveCredentials On
     AuthType Kerberos
     AuthName "Kerberos Authentication"
     require valid-user
     

В этом примере, `Krb5Keytab` указывает на расположение `keytab`-файла, `KrbServiceName` устанавливает имя сервисного принципала, `KrbAuthRealms` указывает Kerberos-реалм, `KrbMethodK5Passwd` отключает возможность использования пароля Kerberos, `KrbSaveCredentials` указывает, что пользовательские учетные данные должны сохраняться, и настройки `AuthType`, `AuthName` и `require` определяют типы аутентификации и требования для доступа. 4. Настройте браузер: - В Internet Explorer откройте "Инструменты" -> "Параметры" -> "Безопасность" -> "Локальная зона" -> "Сайты". - Щелкните на кнопке "Допуск" и добавьте URL-адрес вашего Apache-сервера в список доверенных сайтов. - В "Контроллере броузера безопасности" выберите настройку "Автоматически входить в систему". - В Chrome и Firefox настройки браузера зависят от используемой операционной системы и используемых расширений. Ознакомьтесь с документацией или сообществом, чтобы узнать, как настроить авторизацию Kerberos. Важно отметить, что указанные настройки являются общими и могут отличаться в зависимости от версии и конфигурации используемых компонентов. Чтобы успешно настроить SSO с использованием Kerberos, рекомендуется изучить документацию и руководства по выбранным компонентам и версиям. Пример конфигурации `.htaccess` для авторизации Kerberos на Apache:

AuthType Kerberos
AuthName "Kerberos Authentication"
Krb5Keytab /etc/krb5.keytab
KrbServiceName HTTP/linux-server.example.com
KrbAuthRealms EXAMPLE.COM
KrbMethodNegotiate On
KrbMethodK5Passwd Off
KrbSaveCredentials On
Require valid-user

Пример конфигурации `httpd.conf` для авторизации Kerberos на Apache:

<Location /secure>
  Options Indexes FollowSymLinks
  AuthType Kerberos
  AuthName "Kerberos Authentication"
  Krb5Keytab /etc/krb5.keytab
  KrbServiceName HTTP/linux-server.example.com
  KrbAuthRealms EXAMPLE.COM
  KrbMethodNegotiate On
  KrbMethodK5Passwd Off
  KrbSaveCredentials On
  Require valid-user
</Location>

Обратите внимание, что в обоих примерах `KrbServiceName` и `KrbAuthRealms` должны соответствовать настройкам на вашем сервере Linux. Следует также убедиться, что файл `keytab` указан в правильном месте и имеет правильные разрешения доступа. Если возникают проблемы с настройкой, рекомендуется проверить записи журнала событий на сервере Windows для получения более подробной информации о возникающих ошибках. Также полезно обратиться к документации и сообществу поддержки для выбранных компонентов, таких как Apache и Kerberos, для получения дополнительной информации и рекомендаций.