验证来自反向代理的用户认证请求。
项目描述
介绍
pas.plugins.trustedproxyauth 是一个用于Plone/Zope2的PAS插件,用于验证来自信任的反向代理的请求,其中用户名由HTTP头提供。
想法是将用户认证委托给反向代理(例如,放置在Zope实例前面的Apache与mod_auth_kerb),该代理负责提供用户名。对于来自反向代理的任何请求,用户名将从一个HTTP头(通常是X_REMOTE_USER)中提取,该头由认证代理服务器设置。
安装
将 pas.plugins.trustedproxyauth 添加到您的buildout中蛋的列表。然后重新运行buildout并重新启动您的实例。
在ZMI中转到您的acl_users文件夹,并从 添加 菜单中选择 受信任的代理认证。
在 激活 选项卡上激活 认证 和 提取 功能。您可能希望通过将 受信任的代理认证 移到顶部来改变提取和认证插件的顺序。
选项
以下必须配置的强制设置
- 受信任的代理IP
在此处指定您的反向代理的IP地址。只有来自受信任IP的请求才会被视为用户名提取。您可以指定多个IP地址。默认为127.0.0.1。
- 登录名头
包含用户登录名的HTTP头的名称。此头必须由认证代理设置。默认为 X_REMOTE_USER。
- 需要现有PAS用户
如果禁用,则头中提供的任何登录名都会进行认证(推荐)。如果启用,则只有可以与PAS查找的登录名才会进行认证。
pas.plugins.trustedproxyauth 支持与某些反向代理结合使用时可能需要的用户名转换。以下选项受支持
- 小写登录
将提取的登录名转换为小写。
- 小写域名
将提取的登录名的域名部分转换为小写。这在使用 Kerberos 身份验证且用户 ID 由 userid@REALM 组成时非常有用。
- 移除 NT 域名
从提取的用户名中移除 NT 域名部分。所有形式为 DOMAIN\userid 的用户名都转换为 userid。
- 移除 AD 域名
从提取的用户名中移除 AD 域名部分。所有形式为 userid@domain 的用户名都转换为 userid。
- 用户名映射
通过按行提供提取的用户名和映射的用户名,指定自定义用户名映射,用户名和映射用户名之间用冒号分隔。
示例
user1:guest user2:admin
链接
版权
此软件包由 4teamwork 版权所有。
pas.plugins.trustedproxyauth 采用 GNU 通用公共许可证,版本 2。
变更日志
1.3.0 (2019-10-25)
删除 Plone 4.0 和 4.1 支持。[jone]
添加 Plone 5 支持。[busykoala]
1.2 (2012-06-11)
添加了模拟 Plone 登录的选项,包括创建成员区域和触发登录事件。该功能可以通过设置 Plone 登录超时 选项来启用。[buchi]
1.1 (2012-04-26)
添加了验证请求头中给出的用户名的选项。如果启用,则只有可以使用 PAS 查询到的用户名才会进行身份验证。[buchi]
添加了插件配置的配置页面,并删除了之前用于配置的 ZMI 属性。此更改后,用户名映射不再需要在每次请求时进行计算。[buchi]
在提取部分而不是身份验证部分进行用户名映射。[buchi]
1.0.1 (2011-12-13)
添加了将登录的 AD 域名部分转换为小写的选项。[buchi]
添加了将受信任代理提供的用户名重写为已知 Plone 用户名的用户名映射功能。[jbaumann]
改进了主机名到 IP 的解析。[jbaumann]
添加了测试。[jbaumann]
添加了从登录中移除 NT 和 AD 域名的选项。[buchi]
1.0 (2011-02-25)
初始发布[buchi]。
pas.plugins.trustedproxyauth-1.3.0.tar.gz 的哈希
| 算法 | 哈希摘要 | |
|---|---|---|
| SHA256 | 8b0da743632d5752d6af22705587869477fbb7b98a3d60ca77ab902e6c4268ee |
|
| MD5 | 0941432dd38d3b85eeb71ed6fde6e29b |
|
| BLAKE2b-256 | 3c5d483f33decbde7d255b18e9bffa349d06bbc97613177d2b69a42b556a6580 |