Configuring mod_auth_sspi to find remote user

Question

Configuring mod_auth_sspi to find remote user

I have been trying for a while now to get mod_auth_sspi up and running to help run a Drupal Intranet.

The Drupal LDAP modul and the Drupal SSO instructions https://drupal.org/node/1371478 have been followed.

I am running a Uniform Server 8.12 - running apache 2.2 and php 5.3

mod_auth_sspi is installed on the modules, and referenced in httpd.conf file.

The LDAP itself works, in that going to /user someone can log into their site using the company login details from their Active Directory. The test mechanism on Drupal also pulls through relevant information such as emails etc.

However unfortunately I can't get them to authenticate automatically.

The httpd.conf file also contains:

# Virtual hosts
Include conf/extra/httpd-vhosts.conf
# Pass NTLM authentication to Apache
LoadModule sspi_auth_module modules/mod_auth_sspi.so
<IfModule !mod_auth_sspi.c>
 LoadModule sspi_auth_module modules/mod_auth_sspi.so
</IfModule>

Тогда файл Vhosts содержит

  NameVirtualHost intranet.example.co.uk
<VirtualHost intranet.example.co.uk>
 DocumentRoot "C:/UniServer2/www"
 ServerName Intranet
 <directory "C:/UniServer2/www">
   Options Indexes FollowSymLinks MultiViews
   AllowOverride All
   Order Allow,Deny
   Allow from all
 </directory>
 <Location /intranet/user/login/sso>
   AuthType SSPI
   AuthName "Intranet"
   SSPIAuth On
   SSPIAuthoritative On
   ### The domain used to authenticate with LDAP; this should match the domain
   ### configured in the LDAP integration configuration within Drupal
   SSPIDomain xxx.xxx.x.x
   SSPIOmitDomain On
   SSPIOfferBasic On
   Require valid-user
   #SSPIBasicPreferred On
   #SSPIofferSSPI off
 </Location>
</VirtualHost>

Для сведения intranet.example.co.uk был заменен названием компании xxx.xxx.xx - это IP-адрес Active Directory. Очевидно, я заменил эти биты по соображениям безопасности.

Местоположение - это интрасеть / потому что на том же сервере есть еще одно внутреннее веб-приложение.

Однако, когда я захожу на сайт, я получаю сообщение об ошибке:

"Вы не были аутентифицированы сервером. Вы можете войти с вашими учетными данными ниже".

Это происходит как в intranet.example.co.uk, так и в intranet.example.co.uk/user/login/sso.

Следующие отчеты об ошибках регистрируются Drupal:

ldap_sso_user_login_sso.step1: реализация: mod_auth_sspi, включено: 1, server_remote_user:, server_redirect_remote_user:, ssoRemoteUserStripDomainName:,seamlessLogin: 1 ldap_sso_user_login_sso.implementation: имя пользователя = (область =) найдено $_SERVER['REMOTE_USER'] не найден ldap_sso_user_login_sso.no_remote_user.seamlessLogin ldap_sso_user_login_sso.no_remote_user.drupal_goto пользователь / логин

Очевидно, что Drupal не находит удаленного пользователя. Кроме того, у меня есть простой скрипт whoami.php, работающий в cgi-bin. Код для этого:

<html>
<head>
  <title>whoami at <?php $_SERVER['SERVER_NAME']; ?> </title>
</head>
<body style='font-family:Verdana;font-size:-1'>
<?php

$cred = explode('\\',$_SERVER['REMOTE_USER']);
if (count($cred) == 1) array_unshift($cred, "(no domain info - perhaps SSPIOmitDomain is On)");
list($domain, $user) = $cred;

echo "You appear to be user <B>$user</B><BR/>";
echo "logged into the Windows NT domain <B>$domain</B>";

?>
</body>
</html>

Это произвело "Вы, кажется, пользователь" без следующего текста и "вошли в домен Windows NT (без информации о домене - возможно, SSPIOmitDomain включен)", предполагая, что сервер также не отвечает на удаленного пользователя.

Я не сделал каких-либо особых странных изменений на сервере, поэтому я предполагаю, что проблема, с которой я сталкиваюсь, должна быть связана с тем, что другие используют mod_auth_sspi.

Пара вещей, которые могут быть, хотя моих знаний недостаточно, чтобы рассказать?

У меня нет Tomcat на сервере. В вики Apache ( http://wiki.apache.org/httpd/ModAuthSSPI) говорится, что общая проблема с mod_auth_sspi заключается в том, что mod.jk настроен неправильно. Mod.jk, кажется, файл, относящийся к Tomcat - однако я не видел, чтобы Tomcat нигде не указывался как требование для mod_auth_sspi?
Что-то связанное с htaccess? Я видел некоторые упоминания о mod_auth_sspi и htaccess, но ничего конкретного. Однако htaccess - это единственное место, где я сделал что-то необычное с сервером, так как он был настроен так, чтобы только люди с тем же IP-адресом, что и организация, имели доступ к сайту (другими словами, его могут использовать только люди в офисах, и это не может быть доступно извне).

Любые советы или шаги, которые могут быть предприняты для устранения этой ошибки, были бы очень благодарны, так как я, кажется, ходил кругами.

Благодарю.

2

apache-2.2 active-directory ldap drupal drupal7

Источник

gdhp 28 янв '14 в 10:59

0 ответов

Другие вопросы по тегам apache-2.2 active-directory ldap drupal drupal7