Você não pode especificar um grupo de usuários em vez de um nome de usuário e, em seguida, pode ter um bom grupo de "AuthorizedWebUsers"?
Eu tenho uma autenticação Kerberos em funcionamento no meu Apache. Minha diretiva AuthGroupFile aponta para um arquivo em que há um grupo chamado rnd ( rnd: [email protected]
).
Isso funciona muito bem, mas não sei como conceder acesso a todos os usuários no domínio meu.dominio.com . Você sabe como fazer isso?
Você não pode especificar um grupo de usuários em vez de um nome de usuário e, em seguida, pode ter um bom grupo de "AuthorizedWebUsers"?
Se isso estiver dentro da sua própria rede, por que não restringir / permitir acesso via endereço IP ou intervalo de IP? Este exemplo bloqueia tudo - e força uma combinação de usuário / senha - mas permite que localhost
& todo o 10.x.x.x
& 192.x.x.x
ranges.
<Location /protected>
AuthName "My Protected Server"
AuthType Basic
require valid-user
AuthUserFile /etc/apache2/my_server_passwords
Order Deny,Allow
Deny from all
Allow from 127.0.0.1 ::1
Allow from localhost
Allow from 10.0.0.0/8
Allow from 192.0.0.0/8
Satisfy Any
</Location>
Ou que tal usar o LDAP conforme descrito em este artigo ? Config daquele artigo aqui, mas adicionando o Allow from…
acima:
<Location /protected>
# Using this to bind
AuthLDAPBindDN "CN=John Doe,OU=IT Department,OU=Germany,DC=example,DC=com"
AuthLDAPBindPassword "XXX"
# search user
AuthLDAPURL "ldap://IP-DOMAIN-CONTROLLER/ou=Germany,dc=example,dc=com?sAMAccountName?sub?(objectClass=*)"
AuthType Basic
AuthName "USE YOUR WINDOWS ACCOUNT"
AuthBasicProvider ldap
# Important, otherwise "(9)Bad file descriptor: Could not open password file: (null)"
AuthUserFile /dev/null
require valid-user
Allow from 127.0.0.1 ::1
Allow from localhost
Allow from 10.0.0.0/8
Allow from 192.0.0.0/8
Satisfy Any
</Location>