Apache / Kerberos / Keytabを使用してActiveDirectoryに対してRedmineユーザーを認証する
ルートアクセス権を持つDebian(スクイーズ)サーバーがあります。 Apacheを実行しており、Redmineがサーバーにデプロイされています(現在、認証にローカルMySQLデータベースを使用しています)。
Apacheは、Kerberosとkeytabファイルを使用してActiveDirectoryに対してユーザーを認証するように構成されています。現在の構成では、ユーザーがhttps経由で何かにアクセスしようとするとすぐに、ユーザーはユーザー名/パスワードの入力を求められます。これはActiveDirectoryに対して正常に認証されます。
Redmineには既存のActiveDirectoryに対してユーザーを認証するために使用できる独自のLDAP構成があることを(ある程度)理解していますが、これには、ユーザーがApacheに対して1回、次にRedmineに対して2回目の資格情報を入力する必要があります。
ユーザーに資格情報の再入力を要求するのではなく、Apache認証方法を共有するようにRedmineを構成できますか?(Apacheを使用してActiveDirectoryに対して認証するのはサーバー上の個別のアプリケーションの要件)
私が見つけることができるすべてのリンクはかなり古いので、この機能の組み込みサポートがRedmineにあるかどうかはわかりません。ただし、追加するのはそれほど難しいことではないようです。
基本的に、ほとんどのApache認証モジュールは、REMOTE_USERと呼ばれるリクエストに環境変数を設定します。この変数には、リクエスターが証明したユーザー名が入力されます。 このバグレポート のように内部認証プロバイダーの代わりにREMOTE_USERを受け入れるようにRedmineを変更した場合、ユーザーの認証にはApacheとKerberosのみを使用できます。
誰かがすでに実装しているようです 同様のことを行うプラグイン 。 このフォーラム投稿 このような解決策についても詳しく説明しています。
注:このメソッドは認証ではなく認証;ユーザーが本人であると信頼することはできますが、ユーザーがどのグループに属しているか、またはその他の種類の段階的なアクセス制御が必要な場合は、ActiveDirectoryへの直接LDAP接続を使用する必要があります。
Single_authプラグインとNTLMを使用してソリューションを投稿するだけです: http://blog.techutils.space/2016/02/redmine-ad-sso-setup.html
Apache側でNTLMの代わりにKerberosを使用するように適応できる場合があります。
それが役に立てば幸い!
実際、RedmineがKerberosをサポートしている場合、ユーザーはKerberosからチケットを取得すると、Kerberosをサポートし、そのために構成されたサービスにアクセスできるため、Apacheとは関係ありません。私はRedmineに精通していませんが、このプラグインを見つけました: https://github.com/eckardt/redmine_kerberos_authentication