[Python-de] Python Webanwendung an Active Directory anbinden

[Michael Ziegler]

Hallo,

On 27.09.2014 15:52, Arnold Krille wrote:
>>>> Optional: Single-Sign-On.
>>> Dann wirds tricky.
>>> Dazu brauchst du zunächst Samba + Winbind, die du in die Domäne
>>> joinst (net ads join)
>> Autsch! Ich würde dringend davon abraten, eine Web-Anwendung dermaßen
>> eng mit Diensten zu verdrahten, die so eng mit dem OS verbunden sind.

geht aber nicht anders, ohne Domänen-Accounts gibts keine
Kerberos-Tickets. Die Authentifizierung ist dann wieder unabhängig von
Samba, das macht Apache (mod-auth-kerb) allein.

> Naja, die Kombination von samba/winbind als auth für die Webanwendung,
> aber nicht fürs System, fände ich wesentlich sicherer als wenn die
> Webanwendung per PAM die Systemauthentifizierung nutzt, bloss weil es
> da mehr Anleitungen für die Anbindung ans LDAP/AD gibt...

Tut sie nicht. Man kann für PAM einzelne Services konfigurieren, der
System-Login ist nur einer davon. Die Authentifizierung für die
Webanwendung *kann* auf die gleiche Art erfolgen wie fürs restliche
System, *muss* aber nicht.

Michael