Agora é possível no mod_auth_kerb 5.4 remover o território do REMOTE_USER com a seguinte diretiva de configuração:
KrbLocalUserMapping em
É claro que nenhuma versão Debian / Ubuntu parece lançar o 5.4 ainda (suspiro).
Estou pensando em implantar o mod_auth_kerb em nossos servidores da Web internos para ativar o SSO. O único problema óbvio que posso ver é que é uma abordagem de tudo ou nada, ou todos os usuários de seu domínio podem acessar um site ou não.
É possível combinar mod_auth_kerb com algo como mod_authnz_ldap para verificar a associação ao grupo em um grupo específico no LDAP? Eu estou supondo que a opção KrbAuthoritative teria algo a ver com isso?
Além disso, pelo que entendi, o módulo define o nome de usuário como username@REALM após a autenticação, mas, é claro, no diretório, os usuários são armazenados apenas como nome de usuário. Além disso, alguns sites internos que executamos, como o trac, já possuem um perfil de usuário vinculado a cada nome de usuário. Existe uma maneira de resolver isso, talvez removendo o reino depois da autenticação de alguma forma?
É o ponto principal da separação authn / authz no 2.2 que você pode autenticar com um mecanismo e autorizar com outro. A autenticação fornece uma configuração de REMOTE_USER, com a qual você pode usar o authz_ldap. Além disso, o authn_ldap pesquisa um usuário (convertendo o REMOTE_USER para um DN, se encontrado, usando os critérios de pesquisa que você precisa especificar - por exemplo, pesquisando por CN). Em seguida, quando um DN for encontrado, você poderá especificar os requisitos no objeto LDAP. Por exemplo. se todos os usuários acessando um recurso precisarem estar na mesma UO, você especificará
requer ldap-dn ou = Gerentes, o = A empresa
O Debian estável agora vem com a versão 5.4 do mod_auth_kerb .
Se você está preso a uma versão mais antiga, esta página explica como mod_map_user pode ser usado em combinação com mod_auth_kerb e mod_authnz_ldap.