Apache 2.0升級2.2權限認證模塊配置

公司的安所有門要求全部2.0升級到2.2以加強安全防禦。個人2.0原來用了NTLM集成winbind來實現用戶域賬號登錄認證和跟蹤。其實ldap對proxy支持沒ntlm好，因此常常須要輸入兩次用戶名和密碼，當跳轉到被代理的站點時（個人環境是不少項目使用一個sso站點實現單點登錄）。

對應模塊的Apache安全配置

  AuthName          "AAA"

  NTLMAuth on

  NTLMAuthHelper "/usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp"

  NTLMBasicAuthoritative on

  AuthType NTLM

  Require           valid-user

 

加上ntlm_auth 的Apache模塊以及samba+winbind實現linux主機加入域，用戶訪問能夠實現域賬號集中管理。

升到2.2，linux主機加入域須要對應權限，而且須要改爲ldap認證方式驗證登錄。2.2已經再也不採用authz模塊，而是改用authnz。因此配置項目改動是必須的：

AuthzLDAPAuthoritative off

      AuthBasicProvider ldap

      AuthType basic

      AuthName "AAA"

      AuthLDAPURL "ldap://ldap.aaa.com:389/ uid?"

      require valid-user

Apache 2.2編譯安裝的選項記住必須選上ldap以及authnz_ldap。舉例以下：

./configure --prefix=/usr/local/httpd --with-included-apr --with-ldap --enable-proxy --enable-ssl --enable-cgi --enable-rewrite --enable-speling --enable-so --enable-ldap --enable-mods-shared="all ldap authnz_ldap ssl" --enable-authnz-ldap