通过Apache到Cherrypy的Kerberos/SPNEGO身份验证

我们希望能够在web应用程序中提供无缝单点登录。我们的用户都在使用现代版的IE，他们将通过内部网本地访问我们的网站，他们都将使用广告帐户登录Windows

我们似乎可以使用集成的windows身份验证让浏览器通过凭据，因此这一面看起来不错

但在服务器端，我们有Apache2.2（托管在Windows server 2008+上），CherryPy在其后面-我们使用重写规则将请求传递到CherryPy

我已经找到了适用于Apache2.2（）的mod_spnego的windows编译版本，我相信我已经以某种方式配置了该版本，以便使用客户端的AD凭据对客户端进行身份验证

但是，我们需要以某种方式将这些用户详细信息传递给CherryPy，因为我们需要通过LDAP获得更多的广告详细信息，以便在我们的应用程序中应用权限（这是我们已经做过的，但首先要进行简单的用户名/密码验证）。这就是我陷入死胡同的地方，因为我似乎找不到一个方法来做到这一点

我看到过关于REMOTE_USER环境变量的各种讨论，以及使用Apache中需要的信息设置扩展头的建议，但这些似乎都不起作用

---

有人能帮我理解怎么做吗？如果我没有正确描述上面的所有内容，我表示歉意，因为我说我是Kerberos/SPNEGO新手，可能遗漏了一些明显的内容，或者可能试图将内容过度复杂化。

重复？我以前见过这个问题，但它似乎不是我问的同一个问题，我已经可以在Apache中处理身份验证，我只需要将详细信息传递给CherryPy。我也可以用CherryPy自己进行身份验证，但问题中的示例没有任何文档或解释如何进行身份验证。我从来没有这样做过，所以我的问题可能很愚蠢：你不能转发身份验证用户Apache server var（由mod_spnego设置）对CherryPy？是的，我们已经找到了一种方法，使用扩展请求头获取远程用户变量，这是我们想要的，所以这是一个开始！