Apache mod_auth_kerbおよびLDAPユーザーグループ
SSOを有効にするために、内部Webサーバーにmod_auth_kerbを導入することを検討してきました。私が目にすることができる1つの明らかな問題は、すべてのドメインユーザーがサイトにアクセスできるかどうかにかかわらず、それが全か無かのアプローチであることです。
mod_auth_kerbとmod_authnz_ldapなどを組み合わせて、LDAPの特定のグループのグループメンバーシップを確認することはできますか? KrbAuthoritativeオプションはこれと関係があると思いますか?
また、私が理解しているように、モジュールは認証後にユーザー名をusername@REALMに設定しますが、もちろんディレクトリにはユーザーはユーザー名としてのみ保存されます。さらに、tracなどの一部の内部サイトには、各ユーザー名にリンクされたユーザープロファイルが既にあります。これを解決する方法はありますか、おそらく認証後にレルムビットを取り除くことによって、どういうわけですか?
Mod_auth_kerb 5.4では、次の設定ディレクティブを使用してREMOTE_USERからレルムを取り除くことができるようになりました。
KrbLocalUserMapping On
2.2でのauthn/authz分離の要点は、1つのメカニズムで認証し、別のメカニズムで認証できることです。認証により、REMOTE_USERの設定が提供され、authz_ldapを使用できます。さらに、authn_ldapは次にユーザーを検索します(指定した検索基準を使用して、REMOTE_USERが見つかった場合はDNに変換します(CNの検索など)。次に、DNが見つかったら、LDAPオブジェクトの要件を指定できます。例えば。リソースにアクセスするすべてのユーザーが同じOUに属している必要がある場合は、
ldap-dn ou = Managers、o = The Companyが必要
Debian安定版は現在 mod_auth_kerb のバージョン5.4で出荷されています。
古いバージョンで行き詰まっている場合は、 このページ で、mod_map_userをmod_auth_kerbおよびmod_authnz_ldapと組み合わせて使用する方法を説明します。