Ho pensato di implementare i mod_auth_kerb
nostri server Web interni per abilitare SSO. L'unico problema evidente che posso vedere è che si tratta di un approccio tutto o niente, o tutti gli utenti del tuo dominio possono accedere a un sito o meno.
È possibile combinare mod_auth_kerb
con qualcosa come mod_authnz_ldap
verificare l'appartenenza al gruppo in un determinato gruppo in LDAP? Immagino che l' KrbAuthoritative
opzione avrebbe qualcosa a che fare con questo?
Inoltre, a quanto ho capito, il modulo imposta il nome utente come username@REALM
dopo l'autenticazione, ma ovviamente nella directory gli utenti sono memorizzati solo come nome utente. Inoltre, alcuni siti interni che gestiamo come trac hanno già un profilo utente collegato a ciascun nome utente. C'è un modo per risolverlo, forse togliendo il bit del regno dopo l'autenticazione in qualche modo?