Как реализовать сквозную авторизацию?

Question

[Иван Веков]

Есть приложение на PHP + Vue + Nginx + PHP-FPM + Ubuntu (даже не спрашивайте почему, так исторически сложилось до моего прихода на проект).
Задача - реализовать сквозную доменную идентификацию/авторизацию. Ну то есть, пользователь авторизован на своем ПК, заходит на сайт и его сразу пускает под его учёткой.
Как я помню, мы такое делали в лохматых годах на РНР+apache+kerberos, но глянув либы, я заметил что они будто там в "лохматых" и остались (то есть не поддерживаются лет 10+).
Собственно вопрос, как это делается в современности? И с указанным стеком...
Прогресс же не стоит на месте, кажется что что-то помимо устаревших либ под kerberos+apache должно быть, задача не слишком экзотическая, вроде бы.

Answer 1

[akelsey]

keycloak либо аналоги.
ps
хотя прочитав подробнее - вижу что вам необходима "прозрачная", без ввода пароля (?) аутентификация, тогда keycloak тут вряд ли поможет.

Comments

[Alexey Dmitriev]

как раз поможет, если сайт умеет openid connect \ saml и т.п.

[Иван Веков]

Да, нужно без ввода пароля.
Мне кстати показалось, что keycloak для этого не подходит...

[akelsey]

Иван Веков, тут уж определитесь болменее современные технологии и один раз ввести пароль или тащить легаси, лишь бы сделав всем хорошо (но потом трястись что сломали или слишком сложно поддерживать)

Answer 2

[CityCat4]

Если задача решена однажды - зачем ее переделывать? Керберос конечно штука несколько загадочная, но работает.

Comments

[Иван Веков]

Вроде бы столкнулись с тем, что с новыми версиями ПО может не работать корректно старая библиотека. (Ну например используем РНР 8.2, а либа под 5.4). Ну и ощущается будто софт который не обновлялся десятилетиями - обязан быть дырявым :)

[CityCat4]

Иван Веков, ну тут - писать автору либы, пусть обновляет под 8.2. А насчет дыр - сама либа в исходниках, берете сканер уязвимостей и поехали.