Я подумывал о развертывании mod_auth_kerb на наших внутренних веб-серверах, чтобы включить единый вход. Одна очевидная проблема, которую я вижу, заключается в том, что это подход «все или ничего», все пользователи вашего домена могут получить доступ к сайту или нет.
Можно ли совместить mod_auth_kerb с чем-то вроде mod_authnz_ldap проверить членство в группе в той или иной группе в LDAP? Я предполагаю KrbAuthoritative вариант имел бы какое-то отношение к этому?
Также, насколько я понимаю, модуль устанавливает имя пользователя как username@REALM после аутентификации, но, конечно, в каталоге пользователи сохраняются только как имя пользователя. Более того, на некоторых внутренних сайтах, которые мы запускаем, таких как trac, уже есть профиль пользователя, связанный с каждым именем пользователя. Есть ли способ решить эту проблему, возможно, удалив бит области после аутентификации?
Теперь в mod_auth_kerb 5.4 можно удалить область из REMOTE_USER с помощью следующей директивы config:
KrbLocalUserMapping On
Вся суть разделения authn / authz в 2.2 заключается в том, что вы можете аутентифицироваться с помощью одного механизма и авторизоваться с помощью другого. Аутентификация предоставляет вам параметр REMOTE_USER, против которого вы затем можете использовать authz_ldap. Вдобавок authn_ldap затем выполняет поиск пользователя (преобразуя REMOTE_USER в DN, если он найден, используя критерии поиска, которые вы должны указать - например, поиск CN). Затем, когда DN будет найдено, вы можете указать требования к объекту LDAP. Например. если все пользователи, обращающиеся к ресурсу, должны находиться в одном подразделении, вы указываете
require ldap-dn ou = менеджеры, o = компания
Стабильный Debian теперь поставляется с версией 5.4 mod_auth_kerb.
Если вы застряли на более старой версии, эта страница объясняет, как mod_map_user можно использовать в сочетании с mod_auth_kerb и mod_authnz_ldap.