我在 ubuntu 下设置了一个 apache2 服务器,用于针对 Active Directory 域控制器进行身份验证。它与我想要保护的文件夹中的 .htaccess 文件配合使用,如下所示
require valid-user
我的问题是我想使用组权限进行身份验证。因此,如果我在域上进行了身份验证(例如 matt),并且我尝试访问文件夹。我应该能够
require group [email protected]
并且它应该检查用户 matt 是否是 my_group 活动目录组的成员。我这样想是错的还是 mod_auth_kerb 无法做到这一点?
答案1
mod_auth_kerb 无法做到这一点,因为 Kerberos 本身也无法做到这一点。Kerberos 明确设计为身份验证系统,而不是授权系统。这意味着它根本没有组,它只是确保一个人的身份是他们所说的那个人。
Active Directory 使用 LDAP 来存储和表示组成员身份。您可以使用它来确保您已通过 Kerberos 身份验证的用户是特定组的成员。
也可以看看:35363