Apache mod_auth_kerb 和 LDAP 使用者組

我一直在考慮mod_auth_kerb在我們的內部 Web 伺服器上部署以啟用 SSO。我可以看到的一個明顯問題是，這是一種全有或全無的方法，您的所有域使用者都可以訪問一個站點，也可以不訪問。

是否可以結合檢查mod_auth_kerbLDAPmod_authnz_ldap中特定組的組成員資格？我猜這個KrbAuthoritative選項會與此有關嗎？

另外，據我了解，該模組將使用者名設置為username@REALM身份驗證後，但當然在目錄中使用者僅儲存為使用者名。此外，我們執行的一些內部站點（例如 trac）已經有一個與每個使用者名相關聯的使用者配置文件。有沒有辦法解決這個問題，也許是在身份驗證後以某種方式剝離領域位？

現在可以在 mod_auth_kerb 5.4 中使用以下配置指令從 REMOTE_USER 中剝離領域：

KrbLocalUserMapping 開啟

這是 2.2 中 authn/authz 分離的重點，您可以使用一種機制進行身份驗證，並使用另一種機制進行授權。身份驗證為您提供了 REMOTE_USER 設置，然後您可以使用 authz_ldap 對其進行設置。此外，authn_ldap 會搜尋使用者（如果找到，則將 REMOTE_USER 轉換為 DN，使用您必須指定的搜尋條件 - 例如搜尋 CN）。然後，在找到 DN 後，您可以指定對 LDAP 對象的要求。例如，如果訪問資源的所有使用者都必須在同一個 OU 中，則指定

要求 ldap-dn ou=經理，o=公司

引用自：https://serverfault.com/questions/35363