Группы пользователей Apache mod_auth_kerb и LDAP
Я рассматривал возможность развертывания mod_auth_kerb
на наших внутренних веб-серверах, чтобы включить SSO. Одна очевидная проблема, которую я вижу, заключается в том, что это подход «все или ничего», либо все пользователи вашего домена могут получить доступ к сайту, либо нет.
Можно ли комбинировать mod_auth_kerb
с чем-то вроде mod_authnz_ldap
, чтобы проверить принадлежность группы к определенной группе в LDAP? Я предполагаю, что опция KrbAuthoritative
имела бы какое-то отношение к этому?
Кроме того, как я понимаю, модуль устанавливает имя пользователя [email protected]
после аутентификации, но, конечно же, в каталоге пользователи сохраняются только как имя пользователя. Кроме того, некоторые внутренние сайты, которые мы запускаем, такие как trac, уже имеют профиль пользователя, связанный с каждым именем пользователя. Есть ли способ разрешить это, возможно, путем отсечения бит домена после аутентификации?
3 ответа
Теперь в mod_auth_kerb 5.4 теперь можно удалить область из REMOTE_USER со следующей директивой config:
Включение CRbLocalUserMapping
Конечно, ни одна версия Debian /Ubuntu, похоже, еще не отправила 5.4 (вздох).
Вся суть разделения authn /authz в 2.2, который вы можете аутентифицировать одним механизмом и авторизуетесь с другим. Аутентификация предоставляет вам настройку REMOTE_USER, с которой вы можете использовать authz_ldap. Кроме того, authn_ldap выполняет поиск пользователя (преобразовывая REMOTE_USER в DN, если он найден, используя критерии поиска, которые вы должны указать, например, поиск CN). Затем, когда DN найден, вы можете указать требования к объекту LDAP. Например. если все пользователи, обращающиеся к ресурсу, должны находиться в одном подразделении, вы указываете
требуется ldap-dn ou = Менеджеры, o = Компания
В настоящее время версия для Debian поставляется с версией 5.4 mod_auth_kerb .
Если вы застряли в старой версии, на этой странице объясняется, как mod_map_user можно использовать в сочетании с mod_auth_kerb и mod_authnz_ldap.