Назад | Перейти на главную страницу

Apache2 + mod_auth_kerb + active directory не будет аутентифицировать разрешения группы

У меня есть настройка сервера apache2 в ubuntu для аутентификации с помощью контроллера домена Active Directory. Он отлично работает с файлом .htaccess в папке, которую я хочу защитить, с помощью строки типа

require valid-user

Моя проблема в том, что я хотел бы вместо этого аутентифицироваться с разрешениями группы. Итак, если я аутентифицирован в домене (например, как матовый), и я пытаюсь получить доступ к папке. Я могу поставить

require group my_group@my.domain

и он должен проверить, является ли пользователь matt членом группы активного каталога my_group. Я ошибаюсь, думая об этом, или mod_auth_kerb не может это сделать?

Mod_auth_kerb не может сделать это, потому что сам Kerberos не может это сделать. Kerberos явно разработан как система аутентификации, но не авторизации. Это означает, что у него вообще нет групп, он просто следит за тем, чтобы человек был тем, кем он себя называет.

Active Directory использует LDAP для хранения и представления членства в группах. Вы можете использовать это, чтобы убедиться, что пользователь, аутентифицированный с помощью Kerberos, является членом определенной группы.

Смотрите также: 35363