我一直在考虑mod_auth_kerb在我们的内部 Web 服务器上部署以启用 SSO。我能看到的一个明显问题是,这是一种全有或全无的方法,要么所有域用户都可以访问网站,要么都不可以。
是否可以结合mod_auth_kerb类似功能mod_authnz_ldap来检查 LDAP 中特定组中的组成员身份?我猜这个KrbAuthoritative选项与此有关?
此外,据我了解,模块将用户名设置为username@REALM身份验证后,但当然在目录中用户仅存储为用户名。此外,我们运行的一些内部站点(例如 trac)已经将用户配置文件链接到每个用户名。有没有办法解决这个问题,也许可以通过某种方式在身份验证后剥离领域位?
答案1
在 mod_auth_kerb 5.4 中,现在可以使用以下配置指令从 REMOTE_USER 中剥离领域:
KrbLocalUserMapping 开启
答案2
2.2 中 authn/authz 分离的重点在于,您可以使用一种机制进行身份验证,并使用另一种机制进行授权。身份验证为您提供 REMOTE_USER 设置,然后您可以使用 authz_ldap 对其进行验证。此外,authn_ldap 会搜索用户(如果找到,则将 REMOTE_USER 转换为 DN,使用您必须指定的搜索条件 - 例如搜索 CN)。然后,当找到 DN 时,您可以指定 LDAP 对象的要求。例如,如果访问资源的所有用户都必须位于同一 OU 中,您可以指定
需要 ldap-dn ou=经理,o=公司
答案3
Debian 稳定版现在附带 5.4 版mod_auth_kerb。
如果你坚持使用旧版本,这一页解释如何将 mod_map_user 与 mod_auth_kerb 和 mod_authnz_ldap 结合使用。