Apache und Kerberos authentifizierung
Mario Lorenz
ml-tlug at vdazone.org
Di Jun 26 19:47:07 CEST 2007
Am 26. Jun 2007, um 14:35:24 schrieb Christian Horn:
> Moin,
>
> On Mon, Jun 25, 2007 at 01:06:07PM +0200, Maximilian Wilhelm wrote:
> >
> > Aber: Du kannst Dir per cron-script ne Liste aller User aus $gruppe
> > holen und damit entsprechende .htaccess für Deine Applikationen bauen;
> > so machen wir das.
> >
> >
> > AuthType Kerberos
> > AuthName "My secret App #1"
> > KrbAuthRealms DOM.AIN.DE
> > Krb5Keytab /etc/krb5.keytab
> > require user user1 at DOM.AIN.DE user2 at DOM.AIN.DE ...
> >
Du könntest auch versuchen, mittels libapache2-mod-auth-sys-group
(ist zumindestens bei Debian dabei) und require group webappusers
die Mitgliedschaft in einer System-Gruppe zu fordern. Letzere
sollte dann auch mit den üblichen nss Verdächtigen über LDAP
kommen können. Aber probiert hab ichs nicht.
Andere Frage: Cached der mod-auth-kerb mittlerweile ?
Als ich den das letzte mal probiert hab, musste jeder einzelne Request
mittels Kerberos beim KDC verifiziert werden, was aufgrund der
Roundtrip-Zeiten und der Last beim KDC gar nicht lustig ist...
(ich hab mich dann mit mod-auth-pam gegen winbind gegen AD beholfen,
aber das ist natürlich kein SSO..)
Mario
--
Mario Lorenz Internet: <ml at vdazone.org>
Ham Radio: DL5MLO at DB0ERF.#THR.DEU.EU
The deorbiting of MIR was brought to you by radio FFH and MIRcrosoft, your
specialist for controlled crashes! (local radio station, on the very day)