Apache- Kerberos
Helló Mindenki!
Egy kis segítséget szeretnék kérni Tőletek.
Adott egy Windows XP kliensekből álló hálózat AD-ba szervezve.
Az egyik munkaállomáson fut egy Apache+PHP+MySQL tesztszerver.
Feladat: a munkaállomáson bejelentkezett userek, külön azonosítás nélkül érjenek el webes szolgáltatásokat az előbb említett tesztszerveren.
Két részre bontottam a feladatot Apache/PHP szerveroldalról nézve:
1. Valahogy tudnom kellene, hogy a kérést intéző kliens milyen Usernévvel van bejelentkezve a saját gépén (Kerberos?)
2. A usernév birtokában LDAP-on keresztül az AD-ból mindent kinyerek, amire szükségem van (profil, név, telefonszám, saját adatok, gatyaméret stb.). Ez a rész müxik.
Gondom az első felével van, kutakodásom eredményeképpen találtam rá a mod_auth_kerb Apache modulra és mintha erre lenne szükségem. Erősítsetek vagy cáfoljatok meg legyetek szívesek, ugyanis úgy értelmeztem, hogy a Windowsok alapból Kerberost használnak a hitelesítésre(Gondolom a domain controller láthatja el a Kerberos szerver funkciót is). Ezzel a modullal tudnám rábírni az Apache-ot arra, hogy ő is beszáljon ebbe a körbe.
Ha így van, akkor:
1. A modul felélesztése után milyen formában érem el PHP-ból a usernevet? (megjelenik környezeti változóban,vagy a kérés fejlécében vagy hol? Egyébként milyen adatok érhetőek el ezzel?)
2. Az említett modul felélesztéséhez szükségem van spéci jogra, beállításra a Kerberos szerver eléréséhez vagy ez automatikusan megy a háttérben?
Vagy rossz irányból közelítem meg az egészet és másképp működik az egész?
Ossza meg velem tapasztalatát, aki már küzdött ilyennel ... előre is köszönet érte!
Attila
■ Egy kis segítséget szeretnék kérni Tőletek.
Adott egy Windows XP kliensekből álló hálózat AD-ba szervezve.
Az egyik munkaállomáson fut egy Apache+PHP+MySQL tesztszerver.
Feladat: a munkaállomáson bejelentkezett userek, külön azonosítás nélkül érjenek el webes szolgáltatásokat az előbb említett tesztszerveren.
Két részre bontottam a feladatot Apache/PHP szerveroldalról nézve:
1. Valahogy tudnom kellene, hogy a kérést intéző kliens milyen Usernévvel van bejelentkezve a saját gépén (Kerberos?)
2. A usernév birtokában LDAP-on keresztül az AD-ból mindent kinyerek, amire szükségem van (profil, név, telefonszám, saját adatok, gatyaméret stb.). Ez a rész müxik.
Gondom az első felével van, kutakodásom eredményeképpen találtam rá a mod_auth_kerb Apache modulra és mintha erre lenne szükségem. Erősítsetek vagy cáfoljatok meg legyetek szívesek, ugyanis úgy értelmeztem, hogy a Windowsok alapból Kerberost használnak a hitelesítésre(Gondolom a domain controller láthatja el a Kerberos szerver funkciót is). Ezzel a modullal tudnám rábírni az Apache-ot arra, hogy ő is beszáljon ebbe a körbe.
Ha így van, akkor:
1. A modul felélesztése után milyen formában érem el PHP-ból a usernevet? (megjelenik környezeti változóban,vagy a kérés fejlécében vagy hol? Egyébként milyen adatok érhetőek el ezzel?)
2. Az említett modul felélesztéséhez szükségem van spéci jogra, beállításra a Kerberos szerver eléréséhez vagy ez automatikusan megy a háttérben?
Vagy rossz irányból közelítem meg az egészet és másképp működik az egész?
Ossza meg velem tapasztalatát, aki már küzdött ilyennel ... előre is köszönet érte!
Attila
Lehetőségek
http://www.google.hu/search?hl=hu&q=apache+active+directory+kerberos&meta=
Első találat:
http://support.microsoft.com/default.aspx/kb/555092
Második lehetőség:
Ha a webszerver amúgy is Windowsos gépen fut, raksz rá IIS-t webkiszolgálónak, azzal alapból meg lehet az AD felé autentikálós dolgot csinálni. Ez akkor is működik, ha a kliens valamiért nem Kerberos-sal, hanem NTLM-mel autentikált a domain controller felé.
IIS esetén a REMOTE_USER változóban kapod meg az autentikált user bejelentkezési nevét. Ez nekem biztosan működött, ráadásul ha a webszervert helyi hálózati címmel éred el (http://gepnev/), és persze Internet Explorer alól, akkor az AD bejelentkezési adatokat jelszókérő ablak nélkül elküldi a webszervernek. (Mielőtt még valaki félreértené, ezekben az adatokban nem szerepel a jelszó, ez a Kerberos lényege).
Az Apache alatti Kerberos modul meg gondolom a többi autentikációs modulhoz hasonlóan szintén ugyanebbe a változóba rakja a felhasználónevet, elvileg a jelszókérés nélküli autentikálásnak is működnie kell vele.
IIS egyenlőre nem
A keresésen túl vagyok (illetve azóta is folyamatos), többek között az általad belinkelt lapon is jártam. Tudom a rendet, de egyébként is előbb mindig igyekszem magam utánajárni a dolgoknak, aztán kérdezni ...
Most sem a sült galambot várom, hanem inkább arra lennék kíváncsi a tapasztaltabbak véleménye alapján, hogy ez az a modul ami nekem kell(mert ha nem akkor nem vesztegetem az időt, hanem keresek más megoldást, de eddig úgy néz ki, hogy ez az), illetve a gyakorlatban hogyan áll majd rendelkezésre a számomra érdekes infó ....
Az IIS egyenlőre nem jöhet szóba egyéb okok miatt (bár arra már Én is láttam hasonló, működő példát, de az ASP-t használt)
Köszi az eddigi infót
Attila
IIS