Apache-2.2
Apache mod_auth_kerb 和 LDAP 使用者組
我一直在考慮
mod_auth_kerb
在我們的內部 Web 伺服器上部署以啟用 SSO。我可以看到的一個明顯問題是,這是一種全有或全無的方法,您的所有域使用者都可以訪問一個站點,也可以不訪問。是否可以結合檢查
mod_auth_kerb
LDAPmod_authnz_ldap
中特定組的組成員資格?我猜這個KrbAuthoritative
選項會與此有關嗎?另外,據我了解,該模組將使用者名設置為
username@REALM
身份驗證後,但當然在目錄中使用者僅儲存為使用者名。此外,我們執行的一些內部站點(例如 trac)已經有一個與每個使用者名相關聯的使用者配置文件。有沒有辦法解決這個問題,也許是在身份驗證後以某種方式剝離領域位?
現在可以在 mod_auth_kerb 5.4 中使用以下配置指令從 REMOTE_USER 中剝離領域:
KrbLocalUserMapping 開啟
這是 2.2 中 authn/authz 分離的重點,您可以使用一種機制進行身份驗證,並使用另一種機制進行授權。身份驗證為您提供了 REMOTE_USER 設置,然後您可以使用 authz_ldap 對其進行設置。此外,authn_ldap 會搜尋使用者(如果找到,則將 REMOTE_USER 轉換為 DN,使用您必須指定的搜尋條件 - 例如搜尋 CN)。然後,在找到 DN 後,您可以指定對 LDAP 對象的要求。例如,如果訪問資源的所有使用者都必須在同一個 OU 中,則指定
要求 ldap-dn ou=經理,o=公司