主页 / server / 问题 / 884484
Accepted
Nathan Neulinger
Asked: 2017-11-22 07:43:25 +0800 CST

仅当客户端主动提供时,才将不同类型的 apache 身份验证提供程序与基本身份验证相结合

  • 772

我希望能够在 apache 服务器(ub16 上的 2.4.18+)上有一个路径,该路径主要使用 SAML(使用 mod_auth_mellon 插件)进行身份验证以进行交互使用,但也支持让调用者先发制人地发送 Basic auth证书。(想想通常触发交互式表单登录的 REST api 端点,但如果您预先发送基本身份验证凭据,将允许绕过。)

本质上我正在寻找这种行为:

  • 如果凭据是随请求一起发送的:
    • 尝试它们,如果它们有效,请允许请求
  • 如果上述信用失败,或者没有提供
    • 触发首选身份验证插件。

这样的事情可能吗?我不想把它推回应用程序本身。

我不希望发生的是让 apache 服务器发回触发基本身份验证对话框的响应。

apache-2.4

1 个回答

  1. Best Answer

    回答我自己的问题....对此进行了更多研究,并提出了以下似乎可行的方法:

    <Location />
<If "-n req('Authorization')">
    AuthName "Active Directory"
    AuthBasicProvider ldap
    AuthType basic
    AuthLDAPMaxSubGroupDepth 0
    AuthLDAPBindAuthoritative off
    AuthLDAPRemoteUserAttribute sAMAccountName
    AuthLDAPInitialBindPattern (.+) $1@yyyyy
    AuthLDAPInitialBindAsUser on
    AuthLDAPSearchAsUser on
    AuthLDAPCompareAsUser on
    AuthLDAPUrl "ldaps://xxx,dc=com?sAMAccountName,memberOf?sub"
    LDAPReferrals Off

    require valid-user
</If>
<Else>
    Require valid-user
    AuthType "Mellon"
    MellonEnable "auth"
    MellonVariable "cookie"
    MellonEndpointPath "/sso"
    MellonDefaultLoginPath "/"
    MellonSubjectConfirmationDataAddressCheck Off
    MellonSessionLength 86400
    MellonSPPrivateKeyFile /...../sp-private-key.pem
    MellonIdPMetadataFile /...../idp-metadata.xml
    MellonDoNotVerifyLogoutSignature https://........
</Else>
</Location>

    有人认为这种方法有什么问题吗?

    • 2

相关问题