我有一个在ubuntu下的apache2服务器设置来validationActive Directory域控制器。 它可以正常工作,在我想保护的文件夹中有一个.htaccess文件
require valid-user 我的问题是我想用组权限进行身份validation。 所以,如果我在域上进行身份validation(例如,马特),我试图访问一个文件夹。 我应该可以把
require group [email protected]
并且应该检查用户matt是否是my_group活动目录组的成员。 我想这是错误的,或者是不可能的mod_auth_kerb做到这一点?
mod_auth_kerb不可能这样做,因为Kerberos本身不可能这样做。 Kerberos被明确devise为一个身份validation,但不是授权系统。 这意味着它根本就没有团体,只是确保一个人是他们所说的人。
Active Directory使用LDAP来存储和表示组成员资格。 您可以使用它来确保您使用Kerberos进行身份validation的用户是特定组的成员。
另见: 35363