我的 Apache 上有有效的 Kerberos 身份验证。我的 AuthGroupFile 指令指向一个文件,其中有一个名为 rnd ( ) 的组。rnd: [email protected]
这很好用,但我不知道如何授予域中的所有用户访问权限我的域名.com。你知道怎么做吗?
答案1
您能否指定用户组而不是用户名,然后您可以拥有一个很好的“AuthorizedWebUsers”组?
答案2
如果这是在您自己的网络内,为什么不通过 IP 地址或 IP 范围限制/允许访问?此示例阻止所有人 — 并强制使用用户/密码组合 — 但允许localhost整个10.x.x.x和192.x.x.x范围。
<Location /protected>
AuthName "My Protected Server"
AuthType Basic
require valid-user
AuthUserFile /etc/apache2/my_server_passwords
Order Deny,Allow
Deny from all
Allow from 127.0.0.1 ::1
Allow from localhost
Allow from 10.0.0.0/8
Allow from 192.0.0.0/8
Satisfy Any
</Location>
或者如何使用 LDAP 进行描述本文? 从此处的文章中获取配置,但添加Allow from…上面的配置:
<Location /protected>
# Using this to bind
AuthLDAPBindDN "CN=John Doe,OU=IT Department,OU=Germany,DC=example,DC=com"
AuthLDAPBindPassword "XXX"
# search user
AuthLDAPURL "ldap://IP-DOMAIN-CONTROLLER/ou=Germany,dc=example,dc=com?sAMAccountName?sub?(objectClass=*)"
AuthType Basic
AuthName "USE YOUR WINDOWS ACCOUNT"
AuthBasicProvider ldap
# Important, otherwise "(9)Bad file descriptor: Could not open password file: (null)"
AuthUserFile /dev/null
require valid-user
Allow from 127.0.0.1 ::1
Allow from localhost
Allow from 10.0.0.0/8
Allow from 192.0.0.0/8
Satisfy Any
</Location>