Apache mod_auth_kerb和LDAP用户组

我一直在考虑mod_auth_kerb在内部Web服务器上进行部署以启用SSO。我可以看到的一个明显问题是，这是一种全有或全无的方法，您的所有域用户都可以访问一个站点或不能访问该站点。

是否可以mod_auth_kerb与诸如mod_authnz_ldap在LDAP中检查特定组中的组成员身份之类的组合使用？我猜该KrbAuthoritative选项与此有关吗？

另外，据我了解，该模块将用户名设置为username@REALM经过身份验证之后，但是当然，在目录中，用户仅作为用户名存储。此外，我们运行的某些内部站点（例如trac）已经具有链接到每个用户名的用户个人资料。是否有办法解决此问题，也许是通过某种方式在认证后剥离领域位？

现在，在mod_auth_kerb 5.4中，可以使用以下config指令从REMOTE_USER剥离领域：

KrbLocalUserMapping开启

您可以使用一种机制进行身份验证，然后使用另一种机制进行授权，这就是2.2中authn / authz分离的全部要点。身份验证为您提供了REMOTE_USER的设置，然后您可以将其用于authz_ldap。另外，authn_ldap然后搜索用户（如果找到REMOTE_USER，则使用您必须指定的搜索条件将其转换为DN-例如，搜索CN）。然后，当找到DN时，您可以在LDAP对象上指定要求。例如，如果所有访问资源的用户都必须在同一个OU中，则可以指定

require ldap-dn ou =经理，o =公司

Debian稳定版现已随附mod_auth_kerb 5.4版本。

如果您使用的是旧版本，则此页面说明如何将mod_map_user与mod_auth_kerb和mod_authnz_ldap结合使用。