2015-07-09

apacheで認証は、ActiveDirectoryにしてもらって、認可はローカルファイルを利用する

このエントリーをブックマークに追加 このエントリーを含むはてなブックマーク
apacheでAcitveDirectoryで認証させるには、
sshとapacheの認証でActiveDirectoryと連携する
をご覧ください。

上記は、認証できたら使えますというものでしたが、認証はActiveDirectoryにまかせるけど、実際に利用できるかどうかはローカルのファイルを利用する場合です。

以下のような感じに設定を書きます。
ポイントは、AuthGroupFileとrequire groupです。

<location /test_krb_auth>
  AuthType Kerberos
  AuthName "Kerberos Login"
  KrbAuthRealms MY_DOMAIN
  KrbVerifyKDC Off
  KrbMethodNegotiate Off

  AuthGroupFile /var/www/authgroup
  require group admin
</location>

グループファイルの方は以下のような感じです。
@以下は、認証後にセットされるユーザ名にあわせます。設定方法によっては@以下がなしの場合もあるはずです。

admin: jaga@MY_DOMAIN imo@MY_DOMAIN

これでAcitveDirectoryでjagaさんとsatoさんが認証できたとしても、認可されるのはjagaさんだけになります。

コメントを投稿