对来自执行用户身份验证的反向代理的请求进行身份验证。
pas.plugins.trustedproxyauth的Python项目详细描述
简介
pas.plugins.trustedproxyauth是plone/zope2的pas插件 验证来自可信反向代理的请求,其中用户名 由http头提供。
其思想是将用户身份验证委托给反向代理(例如apache 与mod_auth_kerb)一起放置在zope实例前面。任何人 请求来自反向代理,用户名从 由身份验证设置的http头(通常为X_REMOTE_USER) 代理服务器。
安装
- 将pas.plugins.trustedproxyauth添加到BuildOut中的鸡蛋列表中。 然后重新运行buildout并重新启动实例。
- 在zmi中,转到acl用户文件夹并从Add菜单中选择Trusted Proxy Authentication。
- 激活上的Authentiation和Extraction功能 Activate标签。您可能需要更改提取的顺序和 通过将Trusted Proxy Authentication移到顶部来验证插件。
选项
必须配置以下强制设置:
- 受信任的代理IP
- 在此处指定反向代理的IP地址。只收到请求 将考虑从受信任的IP提取用户名。你可以 指定多个IP地址。默认值为127.0.0.1。
- 登录名标题
- 包含用户登录名的http头的名称。这个标题 必须由身份验证代理设置。默认为X_REMOTE_USER。 DT>要求PAS用户
- 如果禁用,则验证头中提供的任何登录名 (推荐)。如果启用,则只有可以使用pas查找的登录名 已验证。
pas.plugins.trustedproxyauth支持可以 需要与一些反向代理相结合。以下选项是 支持:
- 小写登录名
- 将提取的登录名转换为小写。
- 小写域
- 将提取的登录名的域名部分转换为小写。 当使用kerberos身份验证并且用户id包含 总共userid@REALM。
- 剥离nt域
- 从提取的用户名中删除NT域部分。所有用户名 以DOMAIN\userid的形式转换为userid。
- 剥离ad域
- 从提取的用户名中删除AD域部分。所有用户名 以userid@domain的形式转换为userid。
- 用户名映射
通过提供提取的用户名指定自定义用户名映射 以及每行用冒号分隔的映射用户名。
示例:
user1:guest user2:admin
链接
更改日志
1.2(2012-06-11)
- 添加了模拟plone登录的选项,其中包括创建成员 区域和启动登录事件。通过设置 Plone Login Timeout选项。 [布希]
1.1(2012-04-26)
- 添加了用于验证请求头中给定的用户名的选项。如果 启用后,只有可以使用pas查找的用户名才能进行身份验证。 [布希]
- 添加了插件配置的配置页并删除了zmi 以前用于配置的属性。有了这个变化 不再需要对每个请求计算用户名映射。 [布希]
- 在提取部分而不是身份验证部分中执行用户名映射。 [布希]
1.0.1(2011-12-13)
- 在登录的小写AD域部分添加了选项。 [布希]
- 添加了用于重写用户名的用户名映射功能 由受信人提供代理到已知的plone用户名。 [jbaumann]
- 改进了主机名到IP的分辨率 [jbaumann]
- 添加的测试 [jbaumann]
- 添加了从登录中删除NT和AD域的选项。 [布希]
1.0(2011-02-25)
- 初次发行 [布希]。