Apache2の、ケルベロス、SSIは：別のユーザー

Question

の下でログインするためにどのように私は、REMOTE_USERヘッダによる認可を持つWebアプリを持っています。もしapache2 + mod_auth_kerbがいくつかのActiveDirectoryユーザ名でREMOTE_USERに設定されていれば、私のweb-appはそのユーザ名を持つユーザがログインしていることを知っています。私はシングルサインオン（SSI）、完全に動作します。ユーザー？ kerberos reloginを強制する方法（例えば、基本認証を介して）？

ことがでmod_auth_krbによって不可能な場合は、他のいくつかのapacheの（またはnginxの）によって可能なMOD、それは完全にOKです！

P.S.ちなみに、認証プロセスでREMOTE_USER HTTPヘッダーを使用するのは安全ですか？

Answer 1

彼らは、ブラウザ型の基本的な認証を経て認証された場合、ユーザーをログアウトする方法はありません。

はStanford WebAuthを使用してみてください。これにより、ブラウザー内のログインページを表示し、引き続きユーザーのKerberos信用を使用することができます（オプションで、パスワードなしログインの場合はSPNEGOを使用します）。包括的なログアウト機能も備えています。ユーザーのブラウザはKerberos認証での認証が停止することはありませんが、WebAuthのログインは中止されます。

REMOTE_USER サーバー変数に依存するのが安全です。これは、HTTPヘッダーはない - PHPには、$_SERVER['REMOTE_USER']、ない$_REQUEST['REMOTE_USER']あろう。これはサーバー側のコードによって設定されます。