我在 Linux 机器上配置了 LDAP 服务器,并根据需要创建了用户/组。我有不同的组,例如:admin/managers/executive/developers/users/clients。
现在我在实时服务器上运行了大约 10 个不同的 PHP/Java 应用程序。如何配置某些应用程序仅供特定组的用户访问或编辑。例如。如果用户 A 来自组 Admin->Is,则允许访问某些页面/功能并可以编辑,而客户端或用户的访问权限有限(只能查看某些页面),而开发人员也可以编辑信息。
或许:我知道,但这是一个愚蠢的问题。在应用程序服务器级别(PHP 中的 Apache)设置哪个组在应用程序级别进行身份验证(登录过程)?
答案1
这个问题已经很老了,但我将分享我的经验。
使用 LDAP 进行身份验证,而不是授权。这意味着 PHP 应用程序应该根据 LDAP 服务器对用户进行身份验证,并根据内部策略(例如,根据用户可能所在的组进行验证)授予授权。大多数 Web 框架应该提供各种 LDAP 身份验证库。这样,授权在中/长期内就会分散和简化。
如果应用程序直接在客户端计算机上运行,请注意 LDAP 将保留 posix 组,以下问题可能会有所帮助:如何限制其他用户访问程序?