Drupal 7でKerberosベースのSSOを適切に統合する方法
DrupalをActive Directory経由のシングルサインオンでインストールしようとしています。
私の顧客にはCASのようなSSOスイートがなく、一般的な推奨事項はKerberos(または2番目の選択肢としてNTLM)を使用することです。私はそれにはっきりと同意します。
Kerberosを使用してSSOをActive Directoryと統合する必要があるたびに、「ネイティブ」製品機能、またはApache mod_auth_kerb を使用してヘッダーを書き換えます。
誰かがそのような作業モジュールを実装しましたか?それについて私が読んだものはすべて、「スナップショットの現実」の「開発モジュールについて」に関するものです。現在、LDAP経由の認証を可能にするldapモジュールを使用しています。SSOモジュールがSSO機能を提供しているようですが、フィードバックはありません。
だから:Apache mod_auth_kerbを使用してKerberos over SSOを実装する必要がありますか、それともすべての面倒な設定とダイアログをカプセル化する実際の機能モジュールはありますか?
現時点で最高の実践は何ですか? 「実際の」(匿名の)例を教えていただけませんか?
私がそれをインストールして本番環境に入れたら(12月末頃)、すぐにフィードバックを提供します。
前もって感謝します
いくつかの研究とテストの後、私は最終的に選択をしました。
ほとんどの場合、ネイティブ機能またはアドオン機能を使用することをお勧めします。これにより、製品(ここではDrupal)との統合が向上し、技術的なソリューション(かなり簡単です)よりもロジックソリューションになります。 LDAP_SSOモジュールでは、この種の構成が可能です。
それでも、主にデバッグ機能が不十分なため、今回は構成できませんでした。ウォッチドッグを使っても、何が問題なのかわかりません。さらに、私の顧客には、Apache HTTPとmod_auth_kerbを使用して、Kerberosをインストールおよび使用するための明確な手順があります。 うまくいけば、LDAP_SSOモジュールもこれを許可します。
少し試してから、ここに戻ってより詳細なコメントを共有しますが、現時点ではApache + mod_auth_kerb + fowarded REMOTE_USERに移動します
数か月後に編集します。
これは、ApacheサーバーのMod auth curbとdrupalのLDAPモジュールv1.0-beta12でうまく機能します。 v2.0が利用可能であっても、一部のフィールドが空であり、これがトラブルシューティングの原因となっていたため、いくつかの問題に直面していました。ただし、ユーザーを認証して識別し、グループを収集して、drupalプロファイルなどにマッピングすることはできます。