我有一个供应商Apache模块(PingFederate),它根据收到的令牌设置环境变量。我想根据环境变量的值来控制对目录的访问。
例如,模块设置如下变量: [PF_AUTH_SUBJECT] =>亚伦 [PF_AUTH_GROUPS] => CN = Application.E18.Users,OU =内部,DC =本地,CN = Application.E17.Users,OU =内部,DC =本地
我想保护一个目录,以便只有CN = Application.E18 ...组中的用户才能访问它。我的位置方向conf看起来像这样:
<Location /example_app>
SetEnvIf %{PF_AUTH_GROUPS} ^.*CN=Application.E18.Users.*$ ALLOWED
AuthName "ACL PingFederate restricted"
AuthType PFApacheAgent
Order Deny,Allow
Deny from all
Allow from all
</Location>
这似乎不起作用。我试过了:
SetEnvIf %{PF_AUTH_GROUPS} ^.*CN=Application.E18.Users.*$ ALLOWED
SetEnvIf %{PF_AUTH_GROUPS} ^.*Application.*$ ALLOWED
SetEnvIf %{PF_AUTH_GROUPS} ^.*A.*$ ALLOWED
唯一有效的是:
SetEnvIf %{PF_AUTH_GROUPS} ^.*$ ALLOWED
这显然不起作用。
https://issues.apache.org/bugzilla/show_bug.cgi?id=25725有点暗示SetEnvIf不会测试环境变量,但http://httpd.apache.org/docs/2.2/mod/mod_setenvif.html的文档提到“与请求相关联的列表中的环境变量”,这应该是。
我也尝试使用mod_rewrite:
RewriteEngine On
<Location /example_app>
RewriteCond %{PF_AUTH_GROUPS} ^.*Application.E18.Users.*$
RewriteRule - [E=ALLOWED:1]
AuthName "ACL PingFederate restricted"
AuthType PFApacheAgent
Order Deny,Allow
Deny from all
Allow from all
</Location>
在所有这些实例中,未设置ALLOWED环境变量。
答案 0 :(得分:2)
你需要让mod_rewrite执行2次才能利用mod_pf生成的标题,因为后者在前者之后执行:
RewriteEngine On
RewriteCond %{ENV:REDIRECT_PASS} !1
RewriteRule .* $1 [L,E=PASS:1]
RewriteCond %{HTTP:PF_AUTH_GROUPS} !^.*ECN.*$
RewriteRule .* $1 [L,R=401]
此处还记录了这些内容:https://ping.force.com/Support/PingIdentityArticle?id=kA340000000Gs7bCAC