The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Авторизация LDAP и авторизация Apache"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение [ Отслеживать ]

"Авторизация LDAP и авторизация Apache"  
Сообщение от x52deus (ok) on 23-Июл-08, 10:45 
Имется sldap 2.3.30-5 и Apache 2.2.3-4
К Апач подключены модули mod_ldap.so и mod_authnz_ldap.so

Ситуация следующая:
Компьютер с Windows XP входит в домен. Пользователь в домене зарегистрирован, этому пользователю даны права на доступ к сайту (в файлике .htaccess).
При входе на сайт запрашивается логин и пароль (такие же как при входе в домен). При вверном вводе доступ дается.
Можно ли сделать так чтобы Apache не запрашивал логин и пароль, а брал текущего пользователя Windows и автоматически давал доступ на сайт?
Высказать мнение | Ответить | Правка | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Авторизация LDAP и авторизация Apache"  
Сообщение от us.master (ok) on 23-Июл-08, 11:43 

>Можно ли сделать так чтобы Apache не запрашивал логин и пароль, а
>брал текущего пользователя Windows и автоматически давал доступ на сайт?

Нельзя.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Авторизация LDAP и авторизация Apache"  
Сообщение от x52deus (ok) on 23-Июл-08, 12:02 
>
>>Можно ли сделать так чтобы Apache не запрашивал логин и пароль, а
>>брал текущего пользователя Windows и автоматически давал доступ на сайт?
>
>Нельзя.

Какие тогда могут быть варианты решения, чтобы пользователям автоматически давался доступ на определенные страницы сайта в зависимости от текущего пользователя Windows?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Авторизация LDAP и авторизация Apache"  
Сообщение от us.master (ok) on 23-Июл-08, 17:10 
Сервер типа Апача выдаёт 401-й заголовок браузеру, пытаясь получить от него логин и пароль.
Браузер (из стандартных) так написан, что он сам автоматически не имеет права с клиентской системы получить логин и пароль, под которыми он запущен. Точнее, получить имеет право, а вот серверу (типа Апача) передать -- права не имеет.
Так что Апач никак и никогда не может получить аутентификационные данные от клиента, если только пользователь не отправит их сам.
На Юниксе можно завести самбу и сделать её членом домена. При этом на её ресурсы мы сможем заходить, так как это будут ресурсы домена. Но на Апачевскую страницу с 401-м заголовком зайти автоматически всё равно будет нельзя.

Такова СеЛяВа.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Авторизация LDAP и авторизация Apache"  
Сообщение от angra (ok) on 24-Июл-08, 00:47 
Можно посоветовать пользователям использовать firefox, он умеет запоминать данные http авторизации.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "Авторизация LDAP и авторизация Apache"  
Сообщение от us.master (ok) on 24-Июл-08, 12:41 
>Можно посоветовать пользователям использовать firefox, он умеет запоминать данные http авторизации.

Да, но только её надо будет всё равно проходить, то есть нажимать кнопку "ОК".

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Авторизация LDAP и авторизация Apache"  
Сообщение от Golub Mikhail (ok) on 23-Июл-08, 12:06 
>
>>Можно ли сделать так чтобы Apache не запрашивал логин и пароль, а
>>брал текущего пользователя Windows и автоматически давал доступ на сайт?
>
>Нельзя.

Используйте самбу и NTLM (mod_auth_ntlm_winbind.so).

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "Авторизация LDAP и авторизация Apache"  
Сообщение от DogEater email(??) on 25-Июл-08, 11:07 
>>
>>>Можно ли сделать так чтобы Apache не запрашивал логин и пароль, а
>>>брал текущего пользователя Windows и автоматически давал доступ на сайт?
>>
>>Нельзя.
>
>Используйте самбу и NTLM (mod_auth_ntlm_winbind.so).

Если сумеете победить SELinux и winbind_privileged ;)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "Авторизация LDAP и авторизация Apache"  
Сообщение от Golub Mikhail (ok) on 25-Июл-08, 12:00 
>>>
>>>>Можно ли сделать так чтобы Apache не запрашивал логин и пароль, а
>>>>брал текущего пользователя Windows и автоматически давал доступ на сайт?
>>>
>>>Нельзя.
>>
>>Используйте самбу и NTLM (mod_auth_ntlm_winbind.so).
>
>Если сумеете победить SELinux и winbind_privileged ;)

:)
Под FreeBSD работает без проблем.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "Авторизация LDAP и авторизация Apache"  
Сообщение от Ziggy Stardust email(ok) on 05-Мрт-09, 15:02 
>>>Используйте самбу и NTLM (mod_auth_ntlm_winbind.so).
>Под FreeBSD работает без проблем.

А не подскажите, где его (mod_auth_ntlm_winbind) брать под фрю?
В портах нету.
Где страница разработчиков живет тоже не смог нагуглить. :-(

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "Авторизация LDAP и авторизация Apache"  
Сообщение от Golub Mikhail (ok) on 05-Мрт-09, 15:56 
>>>>Используйте самбу и NTLM (mod_auth_ntlm_winbind.so).
>>Под FreeBSD работает без проблем.
>
>А не подскажите, где его (mod_auth_ntlm_winbind) брать под фрю?
>В портах нету.
>Где страница разработчиков живет тоже не смог нагуглить. :-(

http://adldap.sourceforge.net/wiki/doku.php?id=mod_auth_ntlm...

Это другой - http://modntlm.sourceforge.net/
Но он что-то не заработал у меня.
Может что оба модуля подключал, а директивы похожи ...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

11. "Авторизация LDAP и авторизация Apache"  
Сообщение от Ziggy Stardust email(ok) on 06-Мрт-09, 08:18 
>http://adldap.sourceforge.net/wiki/doku.php?id=mod_auth_ntlm...

Спасибо! Буду изучать.

В настоящий момент для аутентификации пользователей через MS AD используем mod_auth_kerb на apache2. Вроде бы и работоспособно оно, но есть и минусы. Опера например такой метод аутентификации не понимает. И при не прозрачной аутентификации (т.е. когда логин/пароль надо вводить) отдача контента сильно затормаживается. Надеюсь через винбинд удобнее будет...

>Это другой - http://modntlm.sourceforge.net/
>Но он что-то не заработал у меня.
>Может что оба модуля подключал, а директивы похожи ...

Этот модуль я знаю. Умерший уже проект. И NTLMv2 не умеет изначально.


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

12. "Авторизация LDAP и авторизация Apache"  
Сообщение от Golub Mikhail (ok) on 06-Мрт-09, 09:31 
>[оверквотинг удален]
>apache2. Вроде бы и работоспособно оно, но есть и минусы. Опера
>например такой метод аутентификации не понимает. И при не прозрачной аутентификации
>(т.е. когда логин/пароль надо вводить) отдача контента сильно затормаживается. Надеюсь через
>винбинд удобнее будет...
>
>>Это другой - http://modntlm.sourceforge.net/
>>Но он что-то не заработал у меня.
>>Может что оба модуля подключал, а директивы похожи ...
>
>Этот модуль я знаю. Умерший уже проект. И NTLMv2 не умеет изначально.

А mod_auth_kerb позволяет прозрачно авторизировать?
Насколько я помню, то только basic (ввод логина, пароля).


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

13. "Авторизация LDAP и авторизация Apache"  
Сообщение от Ziggy Stardust email(ok) on 06-Мрт-09, 10:01 
>А mod_auth_kerb позволяет прозрачно авторизировать?

Да, тоже позволяет. Но иногда какие-то нестыковки возникают. Вроде бы два одинаковых раб. места, версии ИЕ одинаковые, но с одного работает прозрачная аутентификация, а с другого упорно логин/пароль запрашивает.


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

14. "Авторизация LDAP и авторизация Apache"  
Сообщение от Golub Mikhail (ok) on 06-Мрт-09, 11:15 
>>А mod_auth_kerb позволяет прозрачно авторизировать?
>
>Да, тоже позволяет. Но иногда какие-то нестыковки возникают. Вроде бы два одинаковых
>раб. места, версии ИЕ одинаковые, но с одного работает прозрачная аутентификация,
>а с другого упорно логин/пароль запрашивает.

С mod_auth_ntlm_winbind тоже не все гладко ... :(
Бывает, жалуются, что са1йт запрашивает авторизацию и не пускает, даже если авторизироваться.
Проверяю под своим аккаунтом - пускает с любого браузера.
Проверяю под другим аккаунтом - пускает не во всех браузерах.
Проверяю на вирт. машине - то же - под одним пускает, под другим нет.
В общем, закономерности не нашел.
Самба (winbind) при этом работают нормально.
Т.е. видятся групппы, юзеры, сквид работает (авторизация через winbind), сама самба на ширы пускает без проблем ... (этот ззопарк на тестовой машинке).
А вот Апач клинит :(
И если бы всех не пускало, или не пускало только в Оперы, например, то можно что-то придумать. А так через раз и везде по разному ...

Буду тоже искать альтернативу ...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

15. "Авторизация LDAP и авторизация Apache"  
Сообщение от Ziggy Stardust email(ok) on 06-Мрт-09, 11:27 
>И если бы всех не пускало, или не пускало только в Оперы,
>например, то можно что-то придумать. А так через раз и везде
>по разному ...
>
>Буду тоже искать альтернативу ...

Вот блин... :-(

Судя по всему нет альтернативы, если именно прозрачную аутентификацию нужно. Либо керберус, либо винбинд.

Если без прозрачной, то можно через mod_auth_ldap аутентифицировать. Он стабильнее значительно работает. Но не прозрачно :-( И пароли в отличии от ntlm в открытом виде по сети ходят (т.е. однозначно SSL'ем надо сверху прикрывать).

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

16. "Авторизация LDAP и авторизация Apache"  
Сообщение от Golub Mikhail (ok) on 06-Мрт-09, 11:55 
>[оверквотинг удален]
>
>Вот блин... :-(
>
>Судя по всему нет альтернативы, если именно прозрачную аутентификацию нужно. Либо керберус,
>либо винбинд.
>
>Если без прозрачной, то можно через mod_auth_ldap аутентифицировать. Он стабильнее значительно работает.
>Но не прозрачно :-( И пароли в отличии от ntlm в
>открытом виде по сети ходят (т.е. однозначно SSL'ем надо сверху прикрывать).
>

В том то и фишка, что надо прозрачно - это раз, и чтобы пароли не гуляли по сети. :(

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру