LDAP経由で認証されたユーザーとして実行されるapache経由でphpプロセスを実行する方法はありますか?
現在、ユーザーが ssh アクセスできるようにイントラネットで ubuntu マシンを実行しており、社内の運用 Web サイトとすべてのユーザー向けの開発 Web サイトで Web サーバーを実行しています。実稼働 Web サイトのディレクトリはすべて 0750 に設定されており、グループは LDAP グループであり、www-data ユーザーはすべての LDAP グループに属しています。約 100 人のユーザーはそれぞれ、特定の LDAP グループのセットに属しているため、ssh 経由でログインする場合、適切な LDAP グループのファイル/ディレクトリへの読み取りアクセスのみが許可されます。また、ldap グループを使用して、svn リポジトリへの r/w アクセスを制御しています。
ユーザー開発ディレクトリを、suexec/suphp を使用してディレクトリを所有するユーザーとして実行される別の仮想ホストに移動する予定です (これについてはまだよくわかりませんが、十分に文書化されているようです)。ただし、ユーザーは本番 Web サイトにファイルを簡単に追加することもできます。私たちの懸念は、ユーザーがスクリプトを本番 Web サイトに追加して、本番 Web サイトの他のすべてのスクリプトを読み取ったりコピーしたりできることです。コマンドライン経由でスクリプトを実行する場合と同じ方法でアクセスが制限されるように、apache 経由で実行される php スクリプトを認証済みユーザーとして実行することは可能ですか?
ディレクトリ構造の例を次に示します。
ディレクトリ:
drwxr-x--- 16 admin ldab_a proj_a
drwxr-x--- 1 admin ldap_b proj_b
drwxr-x--- 1 admin ldap_c proj_c
drwxr-x--- 3 admin ldap_d proj_d
ユーザー: グループ メンバーシップ
jane (ldap_a,ldap_c)
tom (ldab_b,ldap_c)
www-data (ldap_a,ldap_b,ldap_c,ldap_d)
そして、私たちの望ましい構造:
