Как сделать сквозную аутентификацию пользователя из Windows-домена на сайте с Flask + Nginx?

Question

[barbaris76]

Добрый день!
Сделали приложение на Flask-е, которое крутится на Linux-сервере в связке с Gunicorn + Nginx. Сервер стоит в сети с корпоративным Windows-доменом, соответственно, пользователи все авторизованы в домене и имеют свои AD-учётки.
Как можно к приложению прикрутить определение доменного имени пользователя, который зашёл на сайт?
Понимаю, что нужно использовать Flask-SimpleLDAP, flask-login, python-ldap - не совсем пойму, как конкретно сделать. Может быть, у кого-нибудь есть действующий пример?
Спасибо.

Answer 1

[Алексей Черемисин]

Посмотрите на keycloak. Это SSO приложение, может обьединить и авторизацию и разные источники., привязывается и к ldap и к windows и к kerberos... Для фласка нужно сделать авторизацию по jwt и openid через keyckoak.

Comments

[barbaris76]

Посмотрел. К сожалению, во внутренний контур по соображениям безопасности мне его протащить не дадут, можно пользоваться только тем, что есть. Может быть, и к лучшему, потому что я с ним ещё дольше разбираться буду.

[Алексей Черемисин]

barbaris76, да просто разверние его в докере. Это же просто приложение!

[barbaris76]

Алексей Черемисин, интернета нет, докера нет, подключить внешний носитель невозможно, понимаете? Есть только питон и зеркало репозитория, и всё.
Почему так - не спрашивайте, это данность, которую приходится учитывать.

[Алексей Черемисин]

barbaris76, сочувствую, на одной из работ тоже самое :-( но пишем служебку, ждем день-два, и разрешают.