У меня есть apache, который уже использует Shibboleth SP для аутентификации, и сейчас я пытаюсь настроить его на использование mod_authnz_ldap для авторизации. Я не уверен, что это сработает, но я хотел бы получить идентификатор пользователя (который shibboleth устанавливает в переменной env и заголовке) и предоставить его фильтру ldap, что-то вроде
Требовать фильтр ldap &(uid=${ENV_UID})(department=marketing)
IE, текущий пользователь будет авторизован только в том случае, если он/она занимается маркетингом.
К сожалению, IDP не может раскрыть эти данные (иначе я бы просто использовал Shibboleth для авторизации). Есть ли у кого-нибудь опыт использования переменных среды или значений заголовков в mod_authnz_ldap? Или какие-нибудь моды apache в этом отношении? Является ли это возможным?
Спасибо за ваше время.