Saya telah mempertimbangkan untuk menggunakan mod_auth_kerb
server web internal kami untuk mengaktifkan SSO. Satu masalah jelas yang bisa saya lihat adalah bahwa ini merupakan pendekatan semua-atau-tidak sama sekali, baik semua pengguna domain Anda dapat mengakses situs atau tidak.
Apakah mungkin digabungkan mod_auth_kerb
dengan sesuatu seperti mod_authnz_ldap
memeriksa keanggotaan grup di grup tertentu di LDAP? Saya kira KrbAuthoritative
pilihannya ada hubungannya dengan ini?
Juga, seperti yang saya mengerti, modul menetapkan nama pengguna username@REALM
setelah otentikasi, tetapi tentu saja dalam direktori pengguna disimpan sebagai nama pengguna saja. Selain itu, beberapa situs internal yang kami jalankan seperti trac sudah memiliki profil pengguna yang ditautkan ke setiap nama pengguna. Apakah ada cara untuk mengatasi ini, mungkin dengan menanggalkan bit ranah setelah otentikasi entah bagaimana?
sumber
Jawaban:
Sekarang dimungkinkan dalam mod_auth_kerb 5.4 untuk menghapus realm dari REMOTE_USER dengan direktif konfigurasi berikut:
KrbLocalUserMapping On
sumber
Itulah inti pemisahan authn / authz di 2.2 yang dapat Anda otentikasi dengan satu mekanisme, dan otorisasi dengan yang lain. Otentikasi memberi Anda pengaturan REMOTE_USER, yang kemudian dapat Anda gunakan melawan authz_ldap. Selain itu, authn_ldap mencari kemudian untuk pengguna (mengkonversi REMOTE_USER ke DN jika ditemukan, menggunakan kriteria pencarian yang harus Anda tentukan - misalnya mencari CN). Kemudian, ketika DN ditemukan, Anda dapat menentukan persyaratan pada objek LDAP. Misalnya, jika semua pengguna yang mengakses sumber daya harus dalam OU yang sama, Anda tentukan
memerlukan ldap-dn ou = Manajer, o = Perusahaan
sumber
Debian stable sekarang dikirimkan dengan versi 5.4 dari mod_auth_kerb .
Jika Anda terjebak dengan versi yang lebih lama, halaman ini menjelaskan bagaimana mod_map_user dapat digunakan dalam kombinasi dengan mod_auth_kerb dan mod_authnz_ldap.
sumber