12 votes

Apache mod_auth_kerb et groupes d'utilisateurs LDAP

J'ai envisagé de déployer mod_auth_kerb sur nos serveurs web internes pour activer le SSO. Le seul problème évident que je vois est qu'il s'agit d'une approche du type "tout ou rien" : soit tous les utilisateurs de votre domaine peuvent accéder à un site, soit ils ne le peuvent pas.

Est-il possible de combiner mod_auth_kerb avec quelque chose comme mod_authnz_ldap pour vérifier l'appartenance à un groupe particulier dans LDAP ? Je suppose que le KrbAuthoritative aurait quelque chose à voir avec cela ?

De plus, si je comprends bien, le module définit le nom d'utilisateur comme étant username@REALM après l'authentification, mais bien sûr, dans le répertoire, les utilisateurs sont stockés sous leur nom d'utilisateur uniquement. De plus, certains sites internes que nous gérons, comme trac, ont déjà un profil d'utilisateur lié à chaque nom d'utilisateur. Existe-t-il un moyen de résoudre ce problème, peut-être en supprimant l'élément "realm" après l'authentification ?

13voto

Wayne Points 12304

Dans mod_auth_kerb 5.4, il est désormais possible de supprimer le domaine de REMOTE_USER à l'aide de la directive de configuration suivante :

KrbLocalUserMapping On

7voto

Martin v. Löwis Points 580

C'est tout l'intérêt de la séparation authn/authz en 2.2 que de pouvoir s'authentifier avec un mécanisme et s'autoriser avec un autre. L'authentification vous fournit un paramètre de REMOTE_USER, contre lequel vous pouvez ensuite utiliser authz_ldap. En outre, authn_ldap recherche alors un utilisateur (en convertissant le REMOTE_USER en un DN s'il est trouvé, en utilisant des critères de recherche que vous devez spécifier - par exemple, la recherche du CN). Ensuite, lorsqu'un DN a été trouvé, vous pouvez spécifier des exigences sur l'objet LDAP. Par exemple, si tous les utilisateurs accédant à une ressource doivent être dans le même OU, vous spécifiez

require ldap-dn ou=Managers, o=The Company

2voto

jcharaoui Points 312

Debian stable est maintenant livrée avec la version 5.4 de mod_auth_kerb .

Si vous êtes coincé avec une ancienne version, cette page explique comment mod_map_user peut être utilisé en combinaison avec mod_auth_kerb et mod_authnz_ldap.

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

X