Tôi đã xem xét việc triển khai mod_auth_kerb
trên các máy chủ web nội bộ của chúng tôi để kích hoạt SSO. Một vấn đề rõ ràng tôi có thể thấy là đó là một cách tiếp cận toàn diện hoặc không có gì, tất cả người dùng tên miền của bạn có thể truy cập một trang web hay không.
Có thể kết hợp mod_auth_kerb
với một cái gì đó như mod_authnz_ldap
để kiểm tra tư cách thành viên nhóm trong một nhóm cụ thể trong LDAP không? Tôi đoán KrbAuthoritative
tùy chọn sẽ có cái gì đó để làm với điều này?
Ngoài ra, theo tôi hiểu, mô-đun đặt tên người dùng là username@REALM
sau khi xác thực, nhưng tất nhiên trong thư mục người dùng chỉ được lưu trữ dưới dạng tên người dùng. Hơn nữa, một số trang web nội bộ chúng tôi chạy như trac đã có hồ sơ người dùng được liên kết với mỗi tên người dùng. Có cách nào để giải quyết vấn đề này, có lẽ bằng cách tước bỏ cõi bit sau khi xác thực bằng cách nào đó?