Apache und Kerberos authentifizierung
Maximilian Wilhelm
max at rfc2324.org
Mo Jun 25 13:06:07 CEST 2007
Am Monday, den 25 June hub Andreas Roth folgendes in die Tasten:
Hi!
> Ich würde meinen Apache gerne gegen ein Active Directory authentifzieren
> lassen. mod_authz_ldap funktioniert soweit auch. Nun würde ich den
> Usern gerne auch SSO bieten könne. Hier habe ich mod_auth_kerb gefunden.
> Laut diverser Googleeinträge ist hier allerdings lediglich die Anmeldung
> auf Userbasis möglich.
> Ich würde gerne bestimmte User abhänig von einer Gruppenzugehörigkeit im
> AD an bestimmten Anwendungen anmelden lassen.
Direkt nicht soweit ich weiss.
Ich habe es auch noch nicht geschafft kerberos und ldap auth im Apache
1.3 zu kombinieren (kerberos -> user auth, ldap -> gruppen check).
(Apache 2 habe ich zugegebenermassen noch nicht probiert)
Aber: Du kannst Dir per cron-script ne Liste aller User aus $gruppe
holen und damit entsprechende .htaccess für Deine Applikationen bauen;
so machen wir das.
AuthType Kerberos
AuthName "My secret App #1"
KrbAuthRealms DOM.AIN.DE
Krb5Keytab /etc/krb5.keytab
require user user1 at DOM.AIN.DE user2 at DOM.AIN.DE ...
Is nicht perfekt, aber tut...
Sollte jemand eine bessere Lösung (z.B die Kombi aus Kerberos und LDAP
kennen, bitte melden.)
Ciao
Max
--
Follow the white penguin.