Группы пользователей Apache mod_auth_kerb и LDAP

Я рассматривал возможность развертывания mod_auth_kerb на наших внутренних веб-серверах, чтобы включить SSO. Одна очевидная проблема, которую я вижу, заключается в том, что это подход «все или ничего», либо все пользователи вашего домена могут получить доступ к сайту, либо нет.

Можно ли комбинировать mod_auth_kerb с чем-то вроде mod_authnz_ldap, чтобы проверить принадлежность группы к определенной группе в LDAP? Я предполагаю, что опция KrbAuthoritative имела бы какое-то отношение к этому?

Кроме того, как я понимаю, модуль устанавливает имя пользователя [email protected] после аутентификации, но, конечно же, в каталоге пользователи сохраняются только как имя пользователя. Кроме того, некоторые внутренние сайты, которые мы запускаем, такие как trac, уже имеют профиль пользователя, связанный с каждым именем пользователя. Есть ли способ разрешить это, возможно, путем отсечения бит домена после аутентификации?

12 голосов | спросил Kamil Kisiel 3 J000000Friday09 2009, 03:39:31

3 ответа


13

Теперь в mod_auth_kerb 5.4 теперь можно удалить область из REMOTE_USER со следующей директивой config:

Включение CRbLocalUserMapping

Конечно, ни одна версия Debian /Ubuntu, похоже, еще не отправила 5.4 (вздох).

ответил styro 19 42009vEurope/Moscow11bEurope/MoscowThu, 19 Nov 2009 07:37:15 +0300 2009, 07:37:15
7

Вся суть разделения authn /authz в 2.2, который вы можете аутентифицировать одним механизмом и авторизуетесь с другим. Аутентификация предоставляет вам настройку REMOTE_USER, с которой вы можете использовать authz_ldap. Кроме того, authn_ldap выполняет поиск пользователя (преобразовывая REMOTE_USER в DN, если он найден, используя критерии поиска, которые вы должны указать, например, поиск CN). Затем, когда DN найден, вы можете указать требования к объекту LDAP. Например. если все пользователи, обращающиеся к ресурсу, должны находиться в одном подразделении, вы указываете

требуется ldap-dn ou = Менеджеры, o = Компания

ответил Martin v. Löwis 15 J000000Wednesday09 2009, 23:01:12
2

В настоящее время версия для Debian поставляется с версией 5.4 mod_auth_kerb .

Если вы застряли в старой версии, на этой странице объясняется, как mod_map_user можно использовать в сочетании с mod_auth_kerb и mod_authnz_ldap.

ответил jcharaoui 22 42012vEurope/Moscow11bEurope/MoscowThu, 22 Nov 2012 21:09:31 +0400 2012, 21:09:31

Похожие вопросы

Популярные теги

security × 330linux × 316macos × 2827 × 268performance × 244command-line × 241sql-server × 235joomla-3.x × 222java × 189c++ × 186windows × 180cisco × 168bash × 158c# × 142gmail × 139arduino-uno × 139javascript × 134ssh × 133seo × 132mysql × 132