Apache Intranet安全

Question

目前，我们有一个Apache可用作Intranet &用于各种内部服务的反向代理。

我们已经有了一个真正的域，并且配置了SSL。

最近，我研究了如何设置LDAP身份验证，要求用户在获得内部服务的任何登录页面之前使用他们的域凭据进行身份验证。

虽然我认为这个概念是正确的，而且我确实让LDAP发挥了作用，但我很快意识到，一旦输入了这些凭据，浏览器就会缓存这些信息。然后我发现，没有办法使这些全权证书失效。这样，如果是在公共PC上，甚至是在家里工作人员使用，那么这个系统就没有意义了，因为这意味着下一个人可能会访问intranet。

在为任何页面或反向代理提供服务之前，还有哪些其他方法可以配置系统以要求LDAP身份验证，但也可以在10-15分钟后过期？

我是Apache的初学者，所以我不知道安全、最佳实践等等。我知道我可以进行IP过滤访问，但有些家庭用户没有静态IP，或者可能希望从其他设备(如移动电话)访问，因此很难监视和维护基于IP的系统。

Answer 1

如何设置一个身份提供者(例如，Shibboleth)和一个在登录页面上充当周边和反向代理的单一标志？

然后，您将有更细粒度的控制身份和访问管理，也可以实现与第三方供应商。

我认为你也可以使用谷歌OAuth，如果你有谷歌应用域名。

看看：https://wiki.shibboleth.net/confluence/display/IDP30/Running+the+IdP+on+Jetty+behind+Apache+httpd

https://wiki.shibboleth.net/confluence/display/SHIB2/IdPAuthUserPassLoginPage

https://developers.google.com/identity/protocols/OAuth2WebServer