Kam*_*iel 12 ldap kerberos single-sign-on apache-2.2
我一直在考虑mod_auth_kerb在我们的内部 Web 服务器上部署以启用 SSO。我能看到的一个明显问题是,它是一种要么全有要么全无的方法,要么您的所有域用户都可以访问某个站点,要么不能。
是否有可能结合起来mod_auth_kerb的东西,如mod_authnz_ldap在特定的组中LDAP检查组成员?我猜这个KrbAuthoritative选项会与此有关吗?
此外,据我所知,该模块将用户名设置为username@REALM经过身份验证,但当然在目录中,用户仅存储为用户名。此外,我们运行的一些内部站点(例如 trac)已经有一个链接到每个用户名的用户配置文件。有没有办法解决这个问题,也许是通过在身份验证后以某种方式剥离领域位?
小智 7
2.2 中 authn/authz 分离的全部意义在于,您可以使用一种机制进行身份验证,并使用另一种机制进行授权。身份验证为您提供了 REMOTE_USER 设置,然后您可以使用 authz_ldap 对其进行设置。此外,authn_ldap 然后搜索用户(如果找到,将 REMOTE_USER 转换为 DN,使用您必须指定的搜索条件 - 例如搜索 CN)。然后,在找到 DN 后,您可以指定对 LDAP 对象的要求。例如,如果访问资源的所有用户都必须在同一个 OU 中,则指定
要求 ldap-dn ou=Managers, o=The Company
| 归档时间: |
|
| 查看次数: |
16899 次 |
| 最近记录: |