- Сообщения
- 4
После успешной сквозной авторизации пользователя ALD в Apache2, возникает задача разграничения доступа для данного пользователя в приложении.
Обычно, те кто использует модуль Apache2 libapache2-mod-kerb с помощью модуля rewrite пробрасывают переменную окружения REMOTE_USER в заголовке конечному приложению (Данная переменная содержит имя авторизованного принципала). Далее по этому имени в приложении можно запросить информацию о нем. В домене Windows Server 2012R2 это можно успешно сделать с помощью обращения к серверу LDAP на контроллере домена. Обычный пользователь в режиме Read-only может извлечь информацию, например, о том, в каких группах состоит пользователь. По такой информации уже можно разгранить доступ в конечном приложении.
Собственно вопрос.
Какие образом у Вас предполагается запрашивать информацию о ALD-шном пользователе, который успешно авторизован на Apache из конечного приложения?
Может быть есть какой-то более адекватный способ получение информации об авторизованом пользователе?
Обычно, те кто использует модуль Apache2 libapache2-mod-kerb с помощью модуля rewrite пробрасывают переменную окружения REMOTE_USER в заголовке конечному приложению (Данная переменная содержит имя авторизованного принципала). Далее по этому имени в приложении можно запросить информацию о нем. В домене Windows Server 2012R2 это можно успешно сделать с помощью обращения к серверу LDAP на контроллере домена. Обычный пользователь в режиме Read-only может извлечь информацию, например, о том, в каких группах состоит пользователь. По такой информации уже можно разгранить доступ в конечном приложении.
Собственно вопрос.
Какие образом у Вас предполагается запрашивать информацию о ALD-шном пользователе, который успешно авторизован на Apache из конечного приложения?
Может быть есть какой-то более адекватный способ получение информации об авторизованом пользователе?