Eu tenho uma configuração de servidor apache2 no ubuntu para autenticar em um controlador de domínio do Active Directory. Ele funciona bem com um arquivo .htaccess na pasta que eu quero proteger com uma linha como
require valid-user
Meu problema é que eu gostaria de autenticar com permissões de grupo. Então, se eu sou autenticado em um domínio (como Matt, por exemplo) e eu tento acessar uma pasta. Eu deveria ser capaz de colocar
require group [email protected]
e deve verificar se o usuário matt é um membro do grupo de diretórios ativo my_group. Estou errado em pensar isso ou não é possível que o mod_auth_kerb faça isso?
Não é possível para o mod_auth_kerb fazer isso porque é impossível para o próprio Kerberos fazer isso. O Kerberos é explicitamente projetado como um sistema de autenticação, mas não de autorização. Isso significa que não tem grupos, apenas garante que uma pessoa é quem eles dizem ser.
O Active Directory usa o LDAP para armazenar e representar a associação ao grupo. Você pode usar isso para garantir que o usuário autenticado com o Kerberos seja membro de um grupo específico.
Veja também: 35363
Tags kerberos apache-2.2 mod-auth