Интегрированная проверка подлинности Windows с сервером Apache HTTP в Linux

Question

Интегрированная проверка подлинности Windows с сервером Apache HTTP в Linux

Каков наилучший способ включить встроенную проверку подлинности Windows для веб-приложения PHP, работающего на Apache2/Linux? В сети есть контроллер домена Windows, который следует использовать для аутентификации.

Я нашел эти модули Apache:

Но эти модули кажутся очень устаревшими (последнее обновление 2007/2008). Есть ли лучший, более современный способ сделать это?

12

linux apache-2.2 kerberos integrated-authentication

Источник

Florian Fankhauser 10 июл '12 в 08:07

3 ответа

Другие вопросы по тегам linux apache-2.2 kerberos integrated-authentication

Jenny D 10 июл '12 в 08:49 2012-07-10 08:49 · Answer 1 · 2012-07-10 08:49

Я считаю, что WDC говорит на LDAP, и в этом случае вы, вероятно, захотите использовать mod_authnz_ldap.

2

Источник

Jenny D 10 июл '12 в 08:49

David Roussel 26 июл '12 в 09:51 2012-07-26 09:51 · Answer 2 · 2012-07-26 09:51

Наилучший вариант - mod_auth_sspi, он достаточно актуален, последний раз был выпущен в 2011 году.

Я использовал mod_auth_sspi 1.0.4 с apache 2.2.9 на Windows Server 2003, и он отлично работает для клиентов Windows XP. Они авторизуются автоматически. Вот мой конфиг, обратите внимание, что вам не нужен бит SVN, но вы можете увидеть, как ограничить определенные группы.

# Set that only Domain Users can access this whole server
LoadModule sspi_auth_module modules/mod_auth_sspi.so
LoadModule dav_module         modules/mod_dav.so
LoadModule dav_svn_module     modules/mod_dav_svn.so
LoadModule authz_svn_module   modules/mod_authz_svn.so
LoadModule rewrite_module modules/mod_rewrite.so

<LocationMatch />
    AuthType SSPI
    AuthName "Windows Authentication"
    SSPIAuth On
    SSPIAuthoritative On
    SSPIDomain dmn.example.com
    SSPIOmitDomain On 
    SSPIOfferBasic Off 
    SSPIUsernameCase lower
</LocationMatch>

<LocationMatch /trac>
    Require valid-user
</LocationMatch>

# Share subversion repos under http://grp-svn:/svn/REPO_NAME
# We need developers to have read and write access and app support and prod support to have read only.
# The front office dev team also have access.
<Location /svn>
    DAV svn
    SVNParentPath D:\GRP-Data\svn\repos
    <Limit GET PROPFIND OPTIONS REPORT CHECKOUT>
        Require group "DMN\\GRP-DEV" "DMN\\GRP-SKY Production Support" "DMN\\FS_Sky_RO_DL" 
    </Limit>
    <Limit POST PUT DELETE PROPPATCH MKCOL COPY MOVE LOCK UNLOCK VERSION-CONTROL REPORT CHECKOUT CHECKIN UNCHECKOUT MKWORKSPACE UPDATE LABEL MERGE BASELINE-CONTROL MKACTIVITY ORDERPATCH ACL PATCH SEARCH>
        Require group "DMN\\GRP-DEV" "DMN\\AS_Apache FO_C_DL" 
    </Limit> 
</Location>

Saed Yousef 12 май '22 в 09:45 2022-05-12 09:45 · Answer 3 · 2022-05-12 09:45

Я потратил несколько часов на поиск здесь и там и наконец нашел решение.

Нет необходимости устанавливать/включать какие-либо модули Apache.

Согласно документации по встроенной аутентификации Windows , заголовок ответа от вашего веб-сервера — это все, что вам нужно.

Если вы установитеWWW-Authenticateзаголовок в конфигурации вашего виртуального хоста, и сервер отвечаетHTTP/1.1 401 Unauthorized, клиент повторит запрос сAuthorizationстрока заголовка содержит кодировку base64InitialContextToken.

В вашейvhost.confдобавить заголовокHeader set WWW-Authenticate 'Negotiate'

Не забудьте включить модуль заголовковa2enmod headers && service apache2 restart

Взгляните на этот документ .