Apache und Kerberos authentifizierung
Maximilian Wilhelm
max at rfc2324.org
Di Jun 26 23:58:00 CEST 2007
Am Tuesday, den 26 June hub Mario Lorenz folgendes in die Tasten:
> Am 26. Jun 2007, um 14:35:24 schrieb Christian Horn:
> > Moin,
> >
> > On Mon, Jun 25, 2007 at 01:06:07PM +0200, Maximilian Wilhelm wrote:
> > >
> > > Aber: Du kannst Dir per cron-script ne Liste aller User aus $gruppe
> > > holen und damit entsprechende .htaccess für Deine Applikationen bauen;
> > > so machen wir das.
> > >
> > >
> > > AuthType Kerberos
> > > AuthName "My secret App #1"
> > > KrbAuthRealms DOM.AIN.DE
> > > Krb5Keytab /etc/krb5.keytab
> > > require user user1 at DOM.AIN.DE user2 at DOM.AIN.DE ...
> Du könntest auch versuchen, mittels libapache2-mod-auth-sys-group
> (ist zumindestens bei Debian dabei) und require group webappusers
> die Mitgliedschaft in einer System-Gruppe zu fordern. Letzere
> sollte dann auch mit den üblichen nss Verdächtigen über LDAP
> kommen können. Aber probiert hab ichs nicht.
Das wäre natürlich eine Variante.
> Andere Frage: Cached der mod-auth-kerb mittlerweile ?
Hoffentlich nicht.
> Als ich den das letzte mal probiert hab, musste jeder einzelne Request
> mittels Kerberos beim KDC verifiziert werden, was aufgrund der
> Roundtrip-Zeiten und der Last beim KDC gar nicht lustig ist...
Dann habt Ihr ein kaputtes Netz und/oder zu wenig KDCs.
> (ich hab mich dann mit mod-auth-pam gegen winbind gegen AD beholfen,
> aber das ist natürlich kein SSO..)
Oha.
Ciao
Max
--
Follow the white penguin.