Apache mod_auth_kerb et les groupes d'users LDAP

J'ai envisagé de déployer mod_auth_kerb sur nos servers Web internes pour permettre SSO. Le seul problème évident que je vois est que c'est une approche tout ou rien, que tous les users de votre domaine peuvent accéder à un site ou non.

Est-il possible de combiner mod_auth_kerb avec quelque chose comme mod_authnz_ldap pour vérifier l'appartenance au groupe dans un groupe particulier dans LDAP? Je suppose que l'option KrbAuthoritative aurait quelque chose à voir avec cela?

De plus, si je comprends bien, le module définit le nom d'user pour être username@REALM après l'authentification, mais bien sûr, dans le directory, les users sont stockés uniquement comme nom d'user. En outre, certains sites internes que nous exécutons tels que trac ont déjà un profil user lié à chaque nom d'user. Existe-t-il un moyen de résoudre ce problème, peut-être en éliminant le bit du domaine après l'authentification en quelque sorte?

    Il est maintenant possible dans mod_auth_kerb 5.4 de supprimer le domaine de REMOTE_USER avec la directive de configuration suivante:

    KrbLocalUserMapping On

    Bien sûr, aucune version Debian / Ubuntu ne semble encore embarquer 5,4 (soupir).

    C'est le point intégral de la séparation authn / authz en 2.2 que vous pouvez authentifier avec un mécanisme et autoriser avec un autre. L'authentification vous fournit un paramètre de REMOTE_USER, auquel vous pouvez alors utiliser authz_ldap. En outre, authn_ldap search alors un user (en convertissant le REMOTE_USER en un DN s'il est trouvé, en utilisant les critères de search que vous devez spécifier – par exemple, la search du CN). Ensuite, lorsqu'un DN a été trouvé, vous pouvez spécifier des exigences sur l'object LDAP. Par exemple, si tous les users qui accèdent à une ressource doivent être dans la même unité d'organisation, vous spécifiez

    require ldap-dn ou = Managers, o = The Company

    Debian stable est maintenant livré avec la version 5.4 de mod_auth_kerb .

    Si vous êtes coincé avec une ancienne version, cette page explique comment mod_map_user peut être utilisé en combinaison avec mod_auth_kerb et mod_authnz_ldap.