And*_*rew 2 active-directory nginx authentication
我们目前使用 NGINX 服务器作为各种服务和应用程序的反向代理。它处理和代理我们创建的 Web 应用程序的流量、API 代理服务器以及单独的编程 API。下面是显示代理背后的资源的示例图。
\n\n\xe2\x80\x8b foobar.com\n |-foobar.com/api\n |-foobar.com/webapp\n |-foobar.com/proxy\n我们有一个具有单点登录功能的企业 AD 系统。我正在尝试将其与 NGINX 反向代理集成,以便在访问 NGINX 后面的一项或多项服务时对用户进行身份验证。
\n\n我看过类似https://www.nginx.com/blog/nginx-plus-authenticate-users/的帖子这样的帖子描述了如何让 NGINX 通过让用户填写登录表单来使用用户的 AD 身份验证,但这不适用于我们的用例。这是因为其中一些用户将通过 HTTP CRUD 操作和/或 curl 命令与 API 服务和代理服务进行交互。此外,这些API和代理用户可能属于其他应用程序而不是人类。从这个意义上说,它们是完全程序化的交互。
\n\n如何配置 NGINX 以支持人工和编程 AD 身份验证?
\n没有像 AD 身份验证这样的东西。您正在寻找的是通过GSSAPI进行Kerberos身份验证。为了获得这样的浏览器身份验证,使用了SPNEGO 。我只是列举所有这些术语,以便为您提供进一步研究的更好起点。
您提供的链接与 SSO 无关。它仅描述使用 AD LDAP 接口进行身份验证的方法。
对于您想要实现的身份验证类型,您必须使用 AD Kerberos 接口。
nginx 不支持开箱即用的 Kerberos。据我所知 spnego-http-auth-nginx-module是在 nginx 中实现 Kerberos 身份验证的实验性最少的方法。
有点超出了您的问题范围:Apache 有一个非常成熟的 Kerberos 模块 mod_auth_kerb 和较新的 mod_auth_gssapi。
这并不意味着建议。我的个人经验主要限于在 Apache/mod_proxy_ajp/Tomcat 外观后面的 Java 应用程序中使用 Kerberos。
| 归档时间: |
|
| 查看次数: |
9643 次 |
| 最近记录: |