У меня есть настройка сервера apache2 в ubuntu для аутентификации с помощью контроллера домена Active Directory. Он отлично работает с файлом .htaccess в папке, которую я хочу защитить, с помощью строки типа
require valid-user
Моя проблема в том, что я хотел бы вместо этого аутентифицироваться с разрешениями группы. Итак, если я аутентифицирован в домене (например, как матовый), и я пытаюсь получить доступ к папке. Я могу поставить
require group my_group@my.domain
и он должен проверить, является ли пользователь matt членом группы активного каталога my_group. Я ошибаюсь, думая об этом, или mod_auth_kerb не может это сделать?
Mod_auth_kerb не может сделать это, потому что сам Kerberos не может это сделать. Kerberos явно разработан как система аутентификации, но не авторизации. Это означает, что у него вообще нет групп, он просто следит за тем, чтобы человек был тем, кем он себя называет.
Active Directory использует LDAP для хранения и представления членства в группах. Вы можете использовать это, чтобы убедиться, что пользователь, аутентифицированный с помощью Kerberos, является членом определенной группы.
Смотрите также: 35363