12 votes

Glomek avatar

Apache mod_auth_kerb et groupes d'utilisateurs LDAP

Demandé el 3 de Juillet, 2009
Quand la question a-t-elle été
17366 affichage
Nombre de visites la question a
3 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

J'ai envisagé de déployer mod_auth_kerb sur nos serveurs web internes pour activer le SSO. Le seul problème évident que je vois est qu'il s'agit d'une approche du type "tout ou rien" : soit tous les utilisateurs de votre domaine peuvent accéder à un site, soit ils ne le peuvent pas.

Est-il possible de combiner mod_auth_kerb avec quelque chose comme mod_authnz_ldap pour vérifier l'appartenance à un groupe particulier dans LDAP ? Je suppose que le KrbAuthoritative aurait quelque chose à voir avec cela ?

De plus, si je comprends bien, le module définit le nom d'utilisateur comme étant username@REALM après l'authentification, mais bien sûr, dans le répertoire, les utilisateurs sont stockés sous leur nom d'utilisateur uniquement. De plus, certains sites internes que nous gérons, comme trac, ont déjà un profil d'utilisateur lié à chaque nom d'utilisateur. Existe-t-il un moyen de résoudre ce problème, peut-être en supprimant l'élément "realm" après l'authentification ?

Demandé el 3 de Juillet, 2009 par Glomek

Réponses

Trop de publicités?

13voto

Wayne avatar
Wayne Points 12304

Dans mod_auth_kerb 5.4, il est désormais possible de supprimer le domaine de REMOTE_USER à l'aide de la directive de configuration suivante :

KrbLocalUserMapping On

Répondu el 19 de Novembre, 2009 par Wayne (12304 Points )

7voto

Martin v. Löwis avatar
Martin v. Löwis Points 580

C'est tout l'intérêt de la séparation authn/authz en 2.2 que de pouvoir s'authentifier avec un mécanisme et s'autoriser avec un autre. L'authentification vous fournit un paramètre de REMOTE_USER, contre lequel vous pouvez ensuite utiliser authz_ldap. En outre, authn_ldap recherche alors un utilisateur (en convertissant le REMOTE_USER en un DN s'il est trouvé, en utilisant des critères de recherche que vous devez spécifier - par exemple, la recherche du CN). Ensuite, lorsqu'un DN a été trouvé, vous pouvez spécifier des exigences sur l'objet LDAP. Par exemple, si tous les utilisateurs accédant à une ressource doivent être dans le même OU, vous spécifiez

require ldap-dn ou=Managers, o=The Company

Répondu el 15 de Juillet, 2009 par Martin v. Löwis (580 Points )

2voto

jcharaoui avatar
jcharaoui Points 312

Debian stable est maintenant livrée avec la version 5.4 de mod_auth_kerb .

Si vous êtes coincé avec une ancienne version, cette page explique comment mod_map_user peut être utilisé en combinaison avec mod_auth_kerb et mod_authnz_ldap.

Répondu el 22 de Novembre, 2012 par jcharaoui (312 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X