J'ai envisagé de déployer mod_auth_kerb
sur nos serveurs web internes pour activer le SSO. Le seul problème évident que je vois est qu'il s'agit d'une approche du type "tout ou rien" : soit tous les utilisateurs de votre domaine peuvent accéder à un site, soit ils ne le peuvent pas.
Est-il possible de combiner mod_auth_kerb
avec quelque chose comme mod_authnz_ldap
pour vérifier l'appartenance à un groupe particulier dans LDAP ? Je suppose que le KrbAuthoritative
aurait quelque chose à voir avec cela ?
De plus, si je comprends bien, le module définit le nom d'utilisateur comme étant username@REALM
après l'authentification, mais bien sûr, dans le répertoire, les utilisateurs sont stockés sous leur nom d'utilisateur uniquement. De plus, certains sites internes que nous gérons, comme trac, ont déjà un profil d'utilisateur lié à chaque nom d'utilisateur. Existe-t-il un moyen de résoudre ce problème, peut-être en supprimant l'élément "realm" après l'authentification ?