Apache mod_auth_kerb और LDAP उपयोगकर्ता समूह

12

मैं mod_auth_kerbSSO को सक्षम करने के लिए अपने आंतरिक वेब सर्वर पर तैनात करने पर विचार कर रहा हूं । एक स्पष्ट समस्या जो मैं देख सकता हूं, वह यह है कि यह एक सर्व-या-कुछ भी नहीं है, या तो आपके सभी डोमेन उपयोगकर्ता किसी साइट तक पहुंच सकते हैं या नहीं।

क्या LDAP में किसी विशेष समूह में समूह सदस्यता के लिए जाँच mod_auth_kerbकरना पसंद mod_authnz_ldapहै? मैं अनुमान लगा रहा हूं कि KrbAuthoritativeविकल्प के साथ कुछ करना होगा?

इसके अलावा, जैसा कि मैं इसे समझता हूं, मॉड्यूल उपयोगकर्ता नाम username@REALMप्रमाणीकरण के बाद सेट करता है , लेकिन निश्चित रूप से निर्देशिका में उपयोगकर्ताओं को केवल उपयोगकर्ता नाम के रूप में संग्रहीत किया जाता है। इसके अलावा, कुछ आंतरिक साइटें जैसे कि हम टीआरसी चलाते हैं, पहले से ही प्रत्येक यूजरनेम से जुड़ी होती है। क्या इसे हल करने का कोई तरीका है, शायद किसी तरह प्रमाणीकरण के बाद दायरे से अलग हटकर?

— कामिल किसियल
स्रोत

कार्यान्वयन के संबंध में एक प्रश्न, क्या आप केर्बेरस दायरे या किसी अन्य कार्यान्वयन के लिए विंडोज एडीएस का उपयोग कर रहे हैं?

— जेरेमी बोस

Apple का OpenDirectory जो MIT Kerberos v5

— Kamil Kisiel

ठीक है ... पहले Apple के OpenDirectory के साथ काम नहीं किया। मैं Windows ADS के विरुद्ध NTLM का उपयोग कर अपने वर्कस्टेशन क्रेडेंशियल का उपयोग करके प्रमाणित करने और फिर विशिष्ट समूहों तक सीमित करने के लिए अपाचे प्राप्त करने में सक्षम था।

— जेरेमी बोस

उपयोगकर्ता नाम से स्ट्रिपिंग के बिना, आप उपयोगकर्ता निकाय के लिए खोज करने के लिए LDAP क्वेरी में एक वैकल्पिक विशेषता का उपयोग कर सकते हैं, उदाहरण के लिए Ms ActiveDirectory में "userPrincipalName" विशेषता।

— यवेस मार्टिन

13

निम्नलिखित config निर्देश के साथ REMOTE_USER से दायरे को अलग करना mod_auth_kerb 5.4 में अब संभव है:

क्रब्लोकलूपर मैपिंग ऑन

— styro
स्रोत

वाह, ऐसा लगता है कि यह 2008 में जारी किया गया था, लेकिन उनकी वेबसाइट पर इसका कोई उल्लेख (संस्करण या पैरामीटर) नहीं है।

— कामिल किसल

7

यह 2.2 में ऑर्टन / ऑर्ट्ज़ अलगाव का पूरा बिंदु है जिसे आप एक तंत्र के साथ प्रमाणित कर सकते हैं, और दूसरे के साथ अधिकृत कर सकते हैं। प्रमाणीकरण आपको REMOTE_USER की एक सेटिंग प्रदान करता है, जिसे आप तब विरुद्धzl_ldap का उपयोग कर सकते हैं। इसके अलावा, odn_ldap तब एक उपयोगकर्ता के लिए खोज करता है (यदि REMOTE_USER को DN में परिवर्तित करता है, तो खोज मानदंड का उपयोग करके आपको निर्दिष्ट करना होगा - जैसे CN की खोज करना)। फिर, जब एक डीएन पाया गया है, तो आप LDAP ऑब्जेक्ट पर आवश्यकताओं को निर्दिष्ट कर सकते हैं। उदाहरण के लिए, यदि किसी संसाधन तक पहुँचने वाले सभी उपयोगकर्ता एक ही OU में होना चाहिए, तो आप निर्दिष्ट करें

आवश्यकता है ldap-dn ou = प्रबंधकों, ओ = कंपनी

— मार्टिन वी। लोविस
स्रोत

प्राधिकरण चरण में जाने से पहले REMOTE_USER चर को संशोधित करना संभव है? उदाहरण के लिए, LDAP डेटाबेस में देखने के लिए Kerberos उपयोगकर्ता नाम का REALM भाग को बंद करना है?

— कामिल किसियल जूल 16'09

विन्यास के माध्यम से नहीं। हालांकि, अपाचे मॉड्यूल के स्रोत कोड में ऐसा करना अपेक्षाकृत आसान है। अनुरोध करने के लिए असाइनमेंट देखें-> उपयोगकर्ता और उन्हें समायोजित करें; फिर apxs2 -c के साथ मॉड्यूल का पुनर्निर्माण करें। OTOH, एक अलग विशेषता के तहत, Kerberos नामों को LDAP में रखना आसान हो सकता है, और उस विशेषता द्वारा उपयोगकर्ता को खोजने के लिए ldap मॉड्यूल की आवश्यकता होती है।

— मार्टिन वी। लोविस

2

डेबियन स्थिर अब mod_auth_kerb के संस्करण 5.4 के साथ जहाज ।

यदि आप पुराने संस्करण के साथ फंस गए हैं, तो यह पृष्ठ बताता है कि mod_map_user को mod_auth_kerb और mod_authnz_ldap के संयोजन में कैसे उपयोग किया जा सकता है।

— jcharaoui
स्रोत