我在我的Apache上有一个工作的Kerberos身份validation。 我的AuthGroupFile指令指向一个名为rnd( rnd: [email protected] )的组的文件。
这工作得很好,但我不知道如何授予访问域my.domain.com中的所有用户。 你知道如何做到这一点?
你不能指定一个用户组而不是一个用户名,那么你可以有一个很好的“AuthorizedWebUsers”组?
如果这是在你自己的networking中,为什么不限制/允许通过IP地址或IP范围访问? 这个例子阻止所有 – 强制用户/密码组合,但允许localhost和整个10.xxx & 192.xxx范围。
<Location /protected> AuthName "My Protected Server" AuthType Basic require valid-user AuthUserFile /etc/apache2/my_server_passwords Order Deny,Allow Deny from all Allow from 127.0.0.1 ::1 Allow from localhost Allow from 10.0.0.0/8 Allow from 192.0.0.0/8 Satisfy Any </Location>
或者如何使用本文所述的LDAP? 从这篇文章configuration,但添加从上面的Allow from… :
<Location /protected> # Using this to bind AuthLDAPBindDN "CN=John Doe,OU=IT Department,OU=Germany,DC=example,DC=com" AuthLDAPBindPassword "XXX" # search user AuthLDAPURL "ldap://IP-DOMAIN-CONTROLLER/ou=Germany,dc=example,dc=com?sAMAccountName?sub?(objectClass=*)" AuthType Basic AuthName "USE YOUR WINDOWS ACCOUNT" AuthBasicProvider ldap # Important, otherwise "(9)Bad file descriptor: Could not open password file: (null)" AuthUserFile /dev/null require valid-user Allow from 127.0.0.1 ::1 Allow from localhost Allow from 10.0.0.0/8 Allow from 192.0.0.0/8 Satisfy Any </Location>