У меня на Apache работает проверка подлинности Kerberos. Моя директива AuthGroupFile указывает на файл, в котором есть одна группа с именем rnd (rnd: user@my.domain.com).
Это работает нормально, но я не знаю, как предоставить доступ всем пользователям в домене. my.domain.com. Ты знаешь как это сделать?
Если это в вашей собственной сети, почему бы не ограничить / разрешить доступ через IP-адрес или диапазон IP-адресов? В этом примере блокируется для всех - и принудительно вводится комбинация пользователя и пароля, но разрешается localhost & целый 10.x.x.x & 192.x.x.x диапазоны.
<Location /protected>
AuthName "My Protected Server"
AuthType Basic
require valid-user
AuthUserFile /etc/apache2/my_server_passwords
Order Deny,Allow
Deny from all
Allow from 127.0.0.1 ::1
Allow from localhost
Allow from 10.0.0.0/8
Allow from 192.0.0.0/8
Satisfy Any
</Location>
Или как насчет использования LDAP, как описано в Эта статья? Конфигурация из этой статьи здесь, но добавление Allow from… сверху:
<Location /protected>
# Using this to bind
AuthLDAPBindDN "CN=John Doe,OU=IT Department,OU=Germany,DC=example,DC=com"
AuthLDAPBindPassword "XXX"
# search user
AuthLDAPURL "ldap://IP-DOMAIN-CONTROLLER/ou=Germany,dc=example,dc=com?sAMAccountName?sub?(objectClass=*)"
AuthType Basic
AuthName "USE YOUR WINDOWS ACCOUNT"
AuthBasicProvider ldap
# Important, otherwise "(9)Bad file descriptor: Could not open password file: (null)"
AuthUserFile /dev/null
require valid-user
Allow from 127.0.0.1 ::1
Allow from localhost
Allow from 10.0.0.0/8
Allow from 192.0.0.0/8
Satisfy Any
</Location>
Не могли бы вы указать группу пользователей, а не имя пользователя, и тогда у вас может быть хорошая группа «AuthorizedWebUsers»?