我在用这个答案对 gerrit 的 apache 反向代理进行身份验证。但是,我还想添加第二个域 - 因此针对 foo.com 或 bar.com 进行身份验证(这两个域都是 google 应用域,因此两者都使用 google)。
我尝试过几种显而易见的方法,例如添加多行 OIDCAuthRequestParams,然后添加多条 Require 语句 [Require claim hd:foo.com Require claim hd:bar.com],它只接受我列出的第一个,而忽略第二个域。当我尝试添加逗号分隔的列表时,它只允许所有域(即 OIDCAuthRequestParams=foo.com, bar.com)。事实上,Require 语句似乎没有任何作用,只有 OIDCAuthRequestParams 似乎有效,而且只适用于一个域。根据上面列出的 gerrit 设置,关于如何使两个不同的域工作,有什么想法吗?
我正在使用 apache2.4 Ubuntu 15.10 和 libapache2-mod-auth-openidc 1.6.0,谢谢。
答案1
对于遵循 gerrit 示例的人来说,对我有用的方法是根本不使用 OIDCAuthRequestParams 行,添加我需要的 Require claim hd: 行并删除 Require valid-user 行。如果我不删除 Require valid-user,它将允许任何 google 域,包括 gmail.com。