Apache mod_auth_kerb ve LDAP kullanıcı grupları

12

mod_auth_kerbTOA'yı etkinleştirmek için dahili web sunucularımızda dağıtım yapmayı düşünüyorum. Görebildiğim tek sorun, bunun bir ya hep ya hiç yaklaşımı olması, ya tüm alan adı kullanıcılarınızın bir siteye erişip erişemeyeceği.

LDAP'de belirli bir grupta grup üyeliğini kontrol etmek mod_auth_kerbgibi bir şeyle birleştirmek mümkün müdür mod_authnz_ldap? KrbAuthoritativeSeçeneğin bununla bir ilgisi olacağını tahmin ediyorum.

Ayrıca, anladığım kadarıyla, modül kullanıcı adını username@REALMkimlik doğrulamasından sonra olacak şekilde ayarlar , ancak elbette dizinde kullanıcılar yalnızca kullanıcı adı olarak saklanır. Ayrıca, trac gibi çalıştırdığımız bazı dahili siteler zaten her kullanıcı adına bağlı bir kullanıcı profiline sahiptir. Bunu belki de bir şekilde kimlik doğrulamasından sonra bölge bitini çıkararak çözmenin bir yolu var mı?

apache-2.2  ldap  kerberos  single-sign-on 
Kamil Kisiel
kaynak
Uygulama ile ilgili bir soru, kerberos bölgesi veya başka bir uygulama için Windows ADS kullanıyor musunuz?
Jeremy Bouse
Apple'ın MIT Kerberos v5
Kamil Kisiel
Tamam ... Daha önce Apple'ın OpenDirectory ile çalışmamıştım. Apache'nin iş istasyonu kimlik bilgilerini kullanarak Windows ADS'ye karşı NTLM kullanarak kimlik doğrulaması yapmasını ve ardından belirli gruplarla kısıtlamasını sağlayabildim.
Jeremy Bouse
Kullanıcı adından bölge çıkarmadan, LDAP sorgusundaki alternatif bir özniteliği, örneğin MS ActiveDirectory'deki "userPrincipalName" özniteliğini aramak için kullanabilirsiniz.
Yves Martin

Yanıtlar:

13

Artık mod_auth_kerb 5.4'te, alanı REMOTE_USER ürününden aşağıdaki yapılandırma yönergesiyle çıkarmak mümkündür:

KrbLocalUserMapping Açık

styro
kaynak
Vay, 2008'de piyasaya sürülmüş gibi görünüyor, ancak web sitelerinde bundan (sürüm veya parametre) bahsedilmiyor.
Kamil Kisiel
7

2.2'deki authn / authz ayrımının tüm noktası, bir mekanizma ile kimlik doğrulaması yapabileceğiniz ve başka bir mekanizma ile yetkilendirebileceğiniz. Kimlik doğrulama, size daha sonra authz_ldap kullanabileceğiniz bir REMOTE_USER ayarı sağlar. Buna ek olarak, authn_ldap daha sonra bir kullanıcı arar (belirtmeniz gereken arama ölçütlerini kullanarak (örneğin CN'yi arama) kullanarak REMOTE_USER öğesini bir DN'ye dönüştürür). Ardından, bir DN bulunduğunda, LDAP nesnesi için gereksinimleri belirleyebilirsiniz. Bir kaynağa erişen tüm kullanıcıların aynı kuruluş biriminde olması gerekiyorsa,

ldap-dn gerektirir ou = Yöneticiler, o = Şirket

Martin / Löwis
kaynak
Yetkilendirme aşamasına geçmeden önce REMOTE_USER değişkenini değiştirmek mümkün müdür? Örneğin, bir LDAP veritabanında arama yapmak için Kerberos kullanıcı adının REALM bölümünü çıkarmak için?
Kamil Kisiel
Yapılandırma yoluyla değil. Bununla birlikte, Apache modülünün kaynak kodunda bunu yapmak nispeten kolaydır. İstek-> kullanıcı için atamaları arayın ve ayarlayın; sonra modülü apxs2 -c ile yeniden oluşturun. OTOH, Kerberos adlarını ayrı bir öznitelik altında LDAP'ye yerleştirmek ve ldap modülünün kullanıcıyı bu öznitelikle aramasını sağlamak daha kolay olabilir.
Martin / Löwis
2

Debian ahır artık mod_auth_kerb'in 5.4 sürümü ile geliyor .

Eski bir sürüme sahipseniz , bu sayfada mod_map_user mod_auth_kerb ve mod_authnz_ldap ile birlikte nasıl kullanılabileceği açıklanmaktadır.

jcharaoui
kaynak
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.