Apache und Kerberos authentifizierung
Christian Horn
chorn at fluxcoil.net
Di Jun 26 14:35:24 CEST 2007
Moin,
On Mon, Jun 25, 2007 at 01:06:07PM +0200, Maximilian Wilhelm wrote:
>
> Aber: Du kannst Dir per cron-script ne Liste aller User aus $gruppe
> holen und damit entsprechende .htaccess für Deine Applikationen bauen;
> so machen wir das.
>
>
> AuthType Kerberos
> AuthName "My secret App #1"
> KrbAuthRealms DOM.AIN.DE
> Krb5Keytab /etc/krb5.keytab
> require user user1 at DOM.AIN.DE user2 at DOM.AIN.DE ...
>
> Is nicht perfekt, aber tut...
Feine idee!
Wenn man alle Verfahren frei waehlen koennte wuerde man vermutlich kerberos
zur authentifizierung anstreben und ldap fuer die authorisierung.
Eine gute idee beides zu vereinen ist es dem ldap beizubringen das er die
passwordchecks so implementiert das er auf den kerberos zurueckgreift.
Damit
- liegen die passwoerter nur an einer stelle
- und ldap-only-apps koennen ueber den ldap authen.
Und wenn die dann noch authorisierungen ueber ldap-gruppen koennen prima.
Wenn man richtig im apachen die auth-methoden fuer bereiche hintereinander-
schalten will koennt sich ein blick auf 2.2.x lohnen, so geschichten wurden
dort wohl verbessert/modularisiert.
Selbst getestet habe ich davon auch nur reine ldap-auth und reine kerberos
auth, ich versuche mich im moment an kerberos-realm <-> ad-domain cross-
realm trust.
Christian