Имется sldap 2.3.30-5 и Apache 2.2.3-4
К Апач подключены модули mod_ldap.so и mod_authnz_ldap.so
Ситуация следующая:
Компьютер с Windows XP входит в домен. Пользователь в домене зарегистрирован, этому пользователю даны права на доступ к сайту (в файлике .htaccess).
При входе на сайт запрашивается логин и пароль (такие же как при входе в домен). При вверном вводе доступ дается.
Можно ли сделать так чтобы Apache не запрашивал логин и пароль, а брал текущего пользователя Windows и автоматически давал доступ на сайт?
>Можно ли сделать так чтобы Apache не запрашивал логин и пароль, а
>брал текущего пользователя Windows и автоматически давал доступ на сайт?Нельзя.
>
>>Можно ли сделать так чтобы Apache не запрашивал логин и пароль, а
>>брал текущего пользователя Windows и автоматически давал доступ на сайт?
>
>Нельзя.Какие тогда могут быть варианты решения, чтобы пользователям автоматически давался доступ на определенные страницы сайта в зависимости от текущего пользователя Windows?
Сервер типа Апача выдаёт 401-й заголовок браузеру, пытаясь получить от него логин и пароль.
Браузер (из стандартных) так написан, что он сам автоматически не имеет права с клиентской системы получить логин и пароль, под которыми он запущен. Точнее, получить имеет право, а вот серверу (типа Апача) передать -- права не имеет.
Так что Апач никак и никогда не может получить аутентификационные данные от клиента, если только пользователь не отправит их сам.
На Юниксе можно завести самбу и сделать её членом домена. При этом на её ресурсы мы сможем заходить, так как это будут ресурсы домена. Но на Апачевскую страницу с 401-м заголовком зайти автоматически всё равно будет нельзя.Такова СеЛяВа.
Можно посоветовать пользователям использовать firefox, он умеет запоминать данные http авторизации.
>Можно посоветовать пользователям использовать firefox, он умеет запоминать данные http авторизации.Да, но только её надо будет всё равно проходить, то есть нажимать кнопку "ОК".
>
>>Можно ли сделать так чтобы Apache не запрашивал логин и пароль, а
>>брал текущего пользователя Windows и автоматически давал доступ на сайт?
>
>Нельзя.Используйте самбу и NTLM (mod_auth_ntlm_winbind.so).
>>
>>>Можно ли сделать так чтобы Apache не запрашивал логин и пароль, а
>>>брал текущего пользователя Windows и автоматически давал доступ на сайт?
>>
>>Нельзя.
>
>Используйте самбу и NTLM (mod_auth_ntlm_winbind.so).Если сумеете победить SELinux и winbind_privileged ;)
>>>
>>>>Можно ли сделать так чтобы Apache не запрашивал логин и пароль, а
>>>>брал текущего пользователя Windows и автоматически давал доступ на сайт?
>>>
>>>Нельзя.
>>
>>Используйте самбу и NTLM (mod_auth_ntlm_winbind.so).
>
>Если сумеете победить SELinux и winbind_privileged ;):)
Под FreeBSD работает без проблем.
>>>Используйте самбу и NTLM (mod_auth_ntlm_winbind.so).
>Под FreeBSD работает без проблем.А не подскажите, где его (mod_auth_ntlm_winbind) брать под фрю?
В портах нету.
Где страница разработчиков живет тоже не смог нагуглить. :-(
>>>>Используйте самбу и NTLM (mod_auth_ntlm_winbind.so).
>>Под FreeBSD работает без проблем.
>
>А не подскажите, где его (mod_auth_ntlm_winbind) брать под фрю?
>В портах нету.
>Где страница разработчиков живет тоже не смог нагуглить. :-(http://adldap.sourceforge.net/wiki/doku.php?id=mod_auth_ntlm...
Это другой - http://modntlm.sourceforge.net/
Но он что-то не заработал у меня.
Может что оба модуля подключал, а директивы похожи ...
>http://adldap.sourceforge.net/wiki/doku.php?id=mod_auth_ntlm...Спасибо! Буду изучать.
В настоящий момент для аутентификации пользователей через MS AD используем mod_auth_kerb на apache2. Вроде бы и работоспособно оно, но есть и минусы. Опера например такой метод аутентификации не понимает. И при не прозрачной аутентификации (т.е. когда логин/пароль надо вводить) отдача контента сильно затормаживается. Надеюсь через винбинд удобнее будет...
>Это другой - http://modntlm.sourceforge.net/
>Но он что-то не заработал у меня.
>Может что оба модуля подключал, а директивы похожи ...Этот модуль я знаю. Умерший уже проект. И NTLMv2 не умеет изначально.
>[оверквотинг удален]
>apache2. Вроде бы и работоспособно оно, но есть и минусы. Опера
>например такой метод аутентификации не понимает. И при не прозрачной аутентификации
>(т.е. когда логин/пароль надо вводить) отдача контента сильно затормаживается. Надеюсь через
>винбинд удобнее будет...
>
>>Это другой - http://modntlm.sourceforge.net/
>>Но он что-то не заработал у меня.
>>Может что оба модуля подключал, а директивы похожи ...
>
>Этот модуль я знаю. Умерший уже проект. И NTLMv2 не умеет изначально.А mod_auth_kerb позволяет прозрачно авторизировать?
Насколько я помню, то только basic (ввод логина, пароля).
>А mod_auth_kerb позволяет прозрачно авторизировать?Да, тоже позволяет. Но иногда какие-то нестыковки возникают. Вроде бы два одинаковых раб. места, версии ИЕ одинаковые, но с одного работает прозрачная аутентификация, а с другого упорно логин/пароль запрашивает.
>>А mod_auth_kerb позволяет прозрачно авторизировать?
>
>Да, тоже позволяет. Но иногда какие-то нестыковки возникают. Вроде бы два одинаковых
>раб. места, версии ИЕ одинаковые, но с одного работает прозрачная аутентификация,
>а с другого упорно логин/пароль запрашивает.С mod_auth_ntlm_winbind тоже не все гладко ... :(
Бывает, жалуются, что са1йт запрашивает авторизацию и не пускает, даже если авторизироваться.
Проверяю под своим аккаунтом - пускает с любого браузера.
Проверяю под другим аккаунтом - пускает не во всех браузерах.
Проверяю на вирт. машине - то же - под одним пускает, под другим нет.
В общем, закономерности не нашел.
Самба (winbind) при этом работают нормально.
Т.е. видятся групппы, юзеры, сквид работает (авторизация через winbind), сама самба на ширы пускает без проблем ... (этот ззопарк на тестовой машинке).
А вот Апач клинит :(
И если бы всех не пускало, или не пускало только в Оперы, например, то можно что-то придумать. А так через раз и везде по разному ...Буду тоже искать альтернативу ...
>И если бы всех не пускало, или не пускало только в Оперы,
>например, то можно что-то придумать. А так через раз и везде
>по разному ...
>
>Буду тоже искать альтернативу ...Вот блин... :-(
Судя по всему нет альтернативы, если именно прозрачную аутентификацию нужно. Либо керберус, либо винбинд.
Если без прозрачной, то можно через mod_auth_ldap аутентифицировать. Он стабильнее значительно работает. Но не прозрачно :-( И пароли в отличии от ntlm в открытом виде по сети ходят (т.е. однозначно SSL'ем надо сверху прикрывать).
>[оверквотинг удален]
>
>Вот блин... :-(
>
>Судя по всему нет альтернативы, если именно прозрачную аутентификацию нужно. Либо керберус,
>либо винбинд.
>
>Если без прозрачной, то можно через mod_auth_ldap аутентифицировать. Он стабильнее значительно работает.
>Но не прозрачно :-( И пароли в отличии от ntlm в
>открытом виде по сети ходят (т.е. однозначно SSL'ем надо сверху прикрывать).
>В том то и фишка, что надо прозрачно - это раз, и чтобы пароли не гуляли по сети. :(