Apache und Kerberos authentifizierung

Mario Lorenz ml-tlug at vdazone.org
Di Jun 26 19:47:07 CEST 2007


Am 26. Jun 2007, um 14:35:24 schrieb Christian Horn:
> Moin,
> 
> On Mon, Jun 25, 2007 at 01:06:07PM +0200, Maximilian Wilhelm wrote:
> > 
> > Aber: Du kannst Dir per cron-script ne Liste aller User aus $gruppe
> > holen und damit entsprechende .htaccess für Deine Applikationen bauen;
> > so machen wir das.
> > 
> > 
> > 	AuthType Kerberos
> > 	AuthName "My secret App #1"
> > 	KrbAuthRealms DOM.AIN.DE
> > 	Krb5Keytab /etc/krb5.keytab
> > 	require user user1 at DOM.AIN.DE user2 at DOM.AIN.DE ...
> > 

Du könntest auch versuchen, mittels libapache2-mod-auth-sys-group
(ist zumindestens bei Debian dabei) und require group webappusers
die Mitgliedschaft in einer System-Gruppe zu fordern. Letzere
sollte dann auch mit den üblichen nss Verdächtigen über LDAP
kommen können. Aber probiert hab ichs nicht.

Andere Frage: Cached der mod-auth-kerb mittlerweile ?
Als ich den das letzte mal probiert hab, musste jeder einzelne Request
mittels Kerberos beim KDC verifiziert werden, was aufgrund der
Roundtrip-Zeiten und der Last beim KDC gar nicht lustig ist...
(ich hab mich dann mit mod-auth-pam gegen winbind gegen AD beholfen,
aber das ist natürlich kein SSO..)

Mario
-- 
Mario Lorenz                            Internet:    <ml at vdazone.org>
                                        Ham Radio:   DL5MLO at DB0ERF.#THR.DEU.EU
The deorbiting of MIR was brought to you by radio FFH and MIRcrosoft, your
specialist for controlled crashes!  (local radio station, on the very day)