我一直在考虑在我们的内部Web服务器上部署mod_auth_kerb来启用SSO。 我可以看到的一个明显的问题是,这是一个全有或全无的方法,无论您的所有域用户都可以访问网站。
是否有可能将mod_auth_kerb与mod_auth_kerb的东西结合起来检查LDAP中特定组中的组成员身份? 我猜KrbAuthoritative选项会有这个事情呢?
此外,据我了解,该模块设置用户名为username@REALMauthentication后,但当然在目录中的用户只存储在用户名。 此外,我们运行的一些内部站点(如trac)已经有一个用户configuration文件链接到每个用户名。 有没有办法解决这个问题,或许通过剥离authentication之后,以某种方式?
现在可以在mod_auth_kerb 5.4中使用以下configuration指令从REMOTE_USER中删除领域:
KrbLocalUserMapping On
当然,Debian / Ubuntu版本似乎还没有发布5.4(叹气)。
这是2.2中authn / authz分离的要点,您可以使用一种机制进行身份validation,并使用另一种机制进行授权。 身份validation为您提供了REMOTE_USER设置,然后您可以使用authz_ldap。 另外,authn_ldap然后为用户search(如果find了,则使用search标准,例如searchCN)来将REMOTE_USER转换为DN。 然后,当findDN时,可以在LDAP对象上指定需求。 例如,如果所有访问资源的用户都必须在同一个OU中,则可以指定
要求ldap-dn ou =经理,o =公司
Debian stable现在随mod_auth_kerb版本5.4一起发布。
如果您遇到旧版本的问题, 本页将介绍如何将mod_map_user与mod_auth_kerb和mod_authnz_ldap结合使用。