Лучший способ авторизации LDAP в NGINX

Какой самый лучший способ это сделать?

https://www.google.com

Лучший способ это прозрачная аутентификация доменной учёткой на сайтах интранета. Но это не ldap, это kerberos. https://www.altlinux.org/Nginx/AD-auth

А она будет работать даже с таких браузерах как хром и мозила? Или только эксполрера?

Когда я работал в компании, эксплуатирующей windows домен, я на своей линукс станции входил в домен с помощью kinit. После этого firefox и chrome заходили на сайты корпоративного интранета прозрачно. Правда у chrome для этого приходилось в /etc/opt/chrome/policies/managed/policy.json добавить

{
    "AuthServerWhitelist": "corp.com,*.corp.com",
    "AuthNegotiateDelegateWhitelist": "corp.com,*.corp.com"
}

Но ее сложнее настраивать чем обычный ldap. И вопрос ещё как будет работать керберос на мобильных девайсах.

«Обычный» ldap не даёт прозрачного входа. Логин пороль приходится вводить каждый раз для каждого сайта.

Для андроида в магазине есть hypergate authenticator, для iOS поддержка kerberos single sign-on встроенная.

После настройки и хром и мозила и егде будут работать.

Под апач тоже есть модуль такой.

Обычный» ldap не даёт прозрачного входа

Да, но если повесить все на один сайт, то вводить нужно будет один раз. Sso без дополнительных телодвижений работает только в винде, в других случаях нужно что-то допиливать на стороне клиента.

Как поставить на ubuntu 22? nginx SPNEGO Только из исходников? Что то никак не могу найти пакета SPNEGO

Вопрос в том что apache не передате имя пользователя в режиме прокси. Как заставить его передавать ?

<VirtualHost *:80>
RewriteEngine on
RewriteCond %{HTTP:Authorization} ^(.*)
RewriteRule .* - [e=HTTP_AUTHORIZATION:%1]



        ServerAdmin webmaster@localhost
        DocumentRoot /var/www/html
        ErrorLog ${APACHE_LOG_DIR}/error.log
        CustomLog ${APACHE_LOG_DIR}/access.log combined

ProxyPreserveHost On
ProxyRequests On
ProxyVia On

<Proxy *>
AuthType Kerberos
KrbAuthRealms DOMAIN.RU
KrbServiceName HTTP
Krb5Keytab /etc/apache2/sqserver.keytab
KrbMethodNegotiate on
KrbMethodK5Passwd on
require valid-user
SetEnv proxy-chain-auth 

</Proxy>

ProxyPass / http://192.168.56.124:80/
ProxyPassReverse / http://192.168.56.124:80/

А можно ли это сделать через IIS? Хорошая ли это идея? Например реверс прокси черезе IIS.

Вопрос в том что apache не передате имя пользователя

Он точно умеет это делать, так что ищите дальше. У меня получилось, но я уже не помню, что и где.

Может вспомнишь?

Да небось часть заголовков портится при пробросе.

Нужны директивы наподобие таких:

ProxyPassReverse <backend_url>
ProxyPreserveHost On

См. статью ниже или аналогичные

https://medium.com/@uri.tau/apache-and-ldap-cc7bff1f629d

https://gist.github.com/alivesay/b81cd86457a1590e0cfd49725494056c