我在 ubuntu 下设置了一个 apache2 服务器来针对 Active Directory 域控制器进行身份验证。它适用于我要保护的文件夹中的 .htaccess 文件,如
require valid-user
我的问题是我想使用组权限进行身份验证。因此,如果我在域上通过了身份验证(例如 matt)并且我尝试访问一个文件夹。我应该可以把
require group [email protected]
它应该检查用户 matt 是否是 my_group 活动目录组的成员。我的想法是错的还是 mod_auth_kerb 不可能做到这一点?
mod_auth_kerb 不可能这样做,因为 Kerberos 本身不可能这样做。Kerberos 被明确设计为身份验证系统,而不是授权系统。这意味着它根本没有组,它只是确保一个人是他们所说的那个人。
Active Directory 使用 LDAP 来存储和表示组成员身份。您可以使用它来确保您已通过 Kerberos 进行身份验证的用户是特定组的成员。
另请参阅:35363