অ্যাপাচি Mod_auth_kerb এবং LDAP ব্যবহারকারী গ্রুপ

12

আমি mod_auth_kerbএসএসও সক্ষম করতে আমাদের অভ্যন্তরীণ ওয়েব সার্ভারগুলিতে স্থাপন করার বিষয়টি বিবেচনা করছি । আমি যে স্পষ্ট সমস্যাটি দেখতে পাচ্ছি তা হ'ল এটি একটি সর্বদাই বা কিছুই নয়, আপনার সমস্ত ডোমেন ব্যবহারকারীরা কোনও সাইটে অ্যাক্সেস করতে পারবেন না।

এলডিএপিতে কোনও নির্দিষ্ট গ্রুপে গ্রুপ সদস্যতার জন্য যাচাই করার mod_auth_kerbমতো mod_authnz_ldapকোনও কিছুর সাথে একত্রিত করা সম্ভব ? আমি অনুমান করছি KrbAuthoritativeবিকল্পটির সাথে এর কিছু হবে?

এছাড়াও, যেমনটি আমি এটি বুঝতে পারি, মডিউলটি ব্যবহারকারীর নামটি username@REALMপ্রমাণীকরণের পরে সেট করে তবে অবশ্যই ডিরেক্টরিতে ব্যবহারকারীরা কেবলমাত্র ব্যবহারকারীর নাম হিসাবে সঞ্চিত থাকে। তদ্ব্যতীত, ট্র্যাকের মতো আমরা চালিত কিছু অভ্যন্তরীণ সাইটগুলির প্রতিটি ব্যবহারকারীর সাথে ইতিমধ্যে একটি ব্যবহারকারীর প্রোফাইল রয়েছে। এটি সমাধান করার কোনও উপায় কি সম্ভবত কোনওভাবে প্রমাণীকরণের পরে রিয়েল বিটটি সরিয়ে রেখে?

apache-2.2  ldap  kerberos  single-sign-on 
কামিল কিসিয়েল
সূত্র
বাস্তবায়ন সম্পর্কিত কেবল একটি প্রশ্ন, আপনি কি কার্বেরোস রাজ্য বা অন্য কোনও প্রয়োগের জন্য একটি উইন্ডোজ এডিএস ব্যবহার করছেন?
জেরেমি বাউস
অ্যাপলের ওপেন ডিরেক্টরি যা এমআইটি কার্বেরোস ভি 5 এর সাথে আসে
কামিল কিসিয়েল
ঠিক আছে ... এর আগে অ্যাপলের ওপেন ডিরেক্টরিতে কাজ হয়নি with আমি উইন্ডোজ এডিএস এর বিপরীতে এনটিএলএম ব্যবহার করে তাদের ওয়ার্কস্টেশন শংসাপত্রগুলি ব্যবহার করে এবং তারপরে নির্দিষ্ট গ্রুপগুলিতে সীমাবদ্ধ করে আপাচিকে সক্ষম করতে সক্ষম হয়েছি।
জেরেমি বাউস
ব্যবহারকারীর নাম থেকে ক্ষেত্র প্রত্যাহার না করে আপনি ব্যবহারকারীর সত্তার সন্ধানের জন্য এলডিএপি ক্যোয়ারিতে একটি বিকল্প বৈশিষ্ট্য ব্যবহার করতে পারেন, উদাহরণস্বরূপ, এমএস অ্যাক্টিভ ডিরেক্টরিতে "ইউজার-প্রিন্সিপালনাম" বৈশিষ্ট্যটি।
ইয়ভেস মার্টিন

উত্তর:

13

নিম্নলিখিত কনফিগার নির্দেশের সাহায্যে এখন REMOTE_USER থেকে রাজ্যটি কেড়ে ফেলা সম্ভব mod_auth_kerb 5.4 এ সম্ভব:

KrbLocalUserMapping চালু

styro
সূত্র
বাহ, দেখে মনে হচ্ছে এটি ২০০৮ সালে প্রকাশিত হয়েছিল, তবে তাদের ওয়েবসাইটে (সংস্করণ বা প্যারামিটার) কোনও উল্লেখ নেই।
কামিল কিসিয়েল
7

এটি ২.২-এ লেখক / লেখক পৃথকীকরণের পুরো বিন্দু যা আপনি একটি প্রক্রিয়াতে প্রমাণীকরণ করতে এবং অন্যটির সাথে অনুমোদন দিতে পারেন। প্রমাণীকরণ আপনাকে REMOTE_USER এর একটি সেটিংস সরবরাহ করে, যা আপনি এরপরে authz_ldap ব্যবহার করতে পারেন। তদ্ব্যতীত, authn_ldap তখন কোনও ব্যবহারকারীর জন্য অনুসন্ধান করে (যদি পাওয়া যায় তবে REMOTE_USER কে একটি ডিএন-তে রূপান্তর করে, অনুসন্ধানের মানদণ্ডটি ব্যবহার করে আপনাকে নির্দিষ্ট করতে হবে - যেমন সিএন অনুসন্ধান করা)। তারপরে, যখন কোনও ডিএন খুঁজে পাওয়া যায়, আপনি এলডিএপি অবজেক্টে প্রয়োজনীয়তা নির্দিষ্ট করতে পারেন। উদাহরণস্বরূপ, যদি কোনও উত্স অ্যাক্সেস করা সমস্ত ব্যবহারকারীদের অবশ্যই একই OU- তে থাকতে পারে তবে আপনি উল্লেখ করুন

ldap-dn ou = পরিচালকগণের প্রয়োজন, ও = দ্য সংস্থা

মার্টিন বনাম লুইস
সূত্র
অনুমোদনের পর্যায়ে যাওয়ার আগে কি REMOTE_USER পরিবর্তনশীলটি পরিবর্তন করা সম্ভব? উদাহরণস্বরূপ, একটি এলডিএপি ডাটাবেসে দেখার জন্য কার্বেরোস ব্যবহারকারীর নামের REALM অংশটি ছাঁটাই করতে?
কামিল কিসিয়েল
কনফিগারেশনের মাধ্যমে নয়। তবে অ্যাপাচি মডিউলটির উত্স কোডে এটি করা অপেক্ষাকৃত সহজ। অনুরোধ-> ব্যবহারকারীর জন্য কার্যাদি সন্ধান করুন এবং সেগুলি সামঞ্জস্য করুন; তারপরে apxs2 -c দিয়ে মডিউলটি পুনর্নির্মাণ করুন। OTOH, কার্বেরোসের নামগুলি আলাদা আলাদা বৈশিষ্ট্যের অধীনে, LDAP- এ স্থাপন করা আরও সহজ এবং ldap মডিউলটি সেই বৈশিষ্ট্য অনুসারে ব্যবহারকারীকে অনুসন্ধান করতে পারে।
মার্টিন বনাম লুইস
2

ডেবিয়ান স্থিতিশীল এখন মোড_আউথ_কারবের 5.4 সংস্করণ সহ প্রেরণ করে

আপনি যদি কোনও পুরানো সংস্করণে আটকে থাকেন তবে এই পৃষ্ঠাটি কীভাবে মোড_ম্যাপ_উজারকে মোড_আউথ_কার্ব এবং মোড_অথনজ_ল্ডাপের সাথে একত্রে ব্যবহার করা যেতে পারে তা ব্যাখ্যা করে।

jcharaoui
সূত্র
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.