Apache mod_auth_kerbおよびLDAPユーザーグループ

12

mod_auth_kerbSSOを有効にするために、社内Webサーバーに展開することを検討しています。私が見ることができる1つの明らかな問題は、すべてのドメインユーザーがサイトにアクセスできるかどうかにかかわらず、オールオアナッシングアプローチであることです。

LDAPの特定のグループのグループメンバーシップを確認するmod_auth_kerbようなものと組み合わせることができmod_authnz_ldapますか?私はKrbAuthoritativeオプションがこれと何か関係があると推測していますか?

また、私が理解しているように、モジュールはユーザー名をusername@REALM認証後に設定しますが、もちろんディレクトリにはユーザーはユーザー名のみとして保存されます。さらに、tracなどの一部の内部サイトには、各ユーザー名にリンクされたユーザープロファイルが既にあります。これを解決する方法はありますか、おそらく認証後に何らかの方法で領域ビットを削除することによってですか?

apache-2.2  ldap  kerberos  single-sign-on 
カミル・キジエル
ソース
実装に関する質問ですが、Kerberosレルムまたは他の実装にWindows ADSを使用していますか?
ジェレミーボーズ2009
MIT Kerberos v5に付属するAppleのOpenDirectory
Kamil Kisiel 09
わかりました... AppleのOpenDirectoryを使用したことがありません。ワークステーションの資格情報を使用してWindows ADSに対してNTLMを使用し、特定のグループに制限してApacheを認証することができました。
ジェレミーボーズ09
ユーザー名から領域を削除せずに、LDAPクエリの代替属性を使用してユーザーエンティティを検索できます。たとえば、Ms ActiveDirectoryの「userPrincipalName」属性などです。
イヴマーティン

回答:

13

mod_auth_kerb 5.4では、次のconfigディレクティブを使用してREMOTE_USERからレルムを削除できるようになりました。

KrbLocalUserMapping On

スタイロ
ソース
うわー、これは2008年にリリースされたように見えますが、彼らのウェブサイト上でそれについて言及していません(バージョンまたはパラメータ)。
カミルキジエル2009年
7

2.2のauthn / authz分離のポイントは、1つのメカニズムで認証し、別のメカニズムで認証できることです。認証により、REMOTE_USERの設定が提供され、authz_ldapを使用できます。さらに、authn_ldapはユーザーを検索します(見つかった場合は、指定する必要がある検索基準を使用して、REMOTE_USERをDNに変換します(CNの検索など)。次に、DNが見つかったら、LDAPオブジェクトの要件を指定できます。たとえば、リソースにアクセスするすべてのユーザーが同じOUにいる必要がある場合、指定します

ldap-dnが必要ou =マネージャー、o =会社

マーティンv。レーウィス
ソース
REMOTE_USER変数は、承認ステージに渡される前に変更できますか?たとえば、LDAPデータベースで検索するために、Kerberosユーザー名のREALM部分を削除するにはどうすればよいですか?
カミルKisiel 09
構成によるものではありません。ただし、Apacheモジュールのソースコードで行うのは比較的簡単です。request-> userへの割り当てを探して調整します。次に、apxs2 -cを使用してモジュールを再構築します。OTOH、別の属性の下でKerberos名をLDAPに入れ、ldapモジュールにその属性でユーザーを検索させる方が簡単かもしれません。
マーティンv。レーヴィス09
2

Debian stableはmod_auth_kerbのバージョン5.4とともに出荷されるようになりました。

古いバージョンにこだわっている場合、このページではmod_map_userをmod_auth_kerbおよびmod_authnz_ldapと組み合わせて使用​​する方法について説明します。

チャチャラウイ
ソース
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.