Apache2 - uwierzytelnianie z dwóch domen?

mamgdzies · Post autor: **mamgdzies** » 11 maja 2010, 09:37

Chciałbym uwierzytelniać użytkowników dwóch niezależnych domen próbujących się dostać na stronę intranetową. Zainstalowałem moduł AuthenNTLM, skonfigurowałem ,,default'' i ,,fallback domain'', tyle tylko, że moduł łączy się zawsze z domyślną domeną, a chciałbym aby łączył się z domeną przekazaną przez użytkownika wraz z loginem np. domena1\użytkownik lub domena2\użytkownik.

Być może taki efekt mogę osiągnąć z użyciem czegoś innego niż AuthenNTLM, lub przez modyfikację tego modułu.

Jeśli zna ktoś z Was sposób lub ma jakiś pomysł od której strony to ,,ugryźć''?

Dziękuję i pozdrawiam.

ksysinek · Post autor: **ksysinek** » 11 maja 2010, 16:15

A nie łatwiej przez pliki .htaccess i .htpasswd? Wystarczy tylko umieścić w odpowiednim folderze. Potrafią chronić całą domenę jak i wybrany katalog.

mamgdzies · Post autor: **mamgdzies** » 12 maja 2010, 10:30

A nie łatwiej przez pliki .htaccess i .htpasswd?

Może i łatwiej, ale chciałbym aby użytkownicy logowali się automatycznie z użyciem swojej nazwy użytkownika i hasła z domeny. Ów Apache działa jako serwer intranetowy.

Zresztą w tej chwili tak to działa, zmiana hasła przez użytkownika "zmienia" automatycznie hasło do strony intranetowej i wszystko jest transparentne dla użytkownika - pamięta jedną nazwę i hasło. Tyle tylko, że przez pewien czas zamiast jednej będą funkcjonować dwie odrębne domeny.

Pacek · Post autor: **Pacek** » 13 maja 2010, 15:06

Możliwe, że lepiej wykorzystać do tego Apache'a wraz z modułem Kerberos'a. Pozwala to na automatyczne logowanie na zabezpieczoną stronę. Ponadto można wprowadzić domeny, które mogą mieć dostęp do danej witryny. Ja jakiś czas temu robiłem taki wynalazek i nawet to działało. Internet Explorer sam się będzie logował na witrynę (ponieważ bilet kerberosa jest przechowywany po zalogowaniu i IE go wykorzystuje do uwierzytelniania), natomiast Mozilla wymaga wprowadzenia loginu w postaci [email protected] oraz hasła, ale można ponoć w Mozilli wymusić domenę logowania. Pogooglowałem chwilkę i znalazłem pomocny artykuł w języku angielskim: http://michele.pupazzo.org/diary/?p=460

mamgdzies · Post autor: **mamgdzies** » 14 maja 2010, 10:18

O ile kojarzę to z kontrolerem domeny na sambie to nie zadziała. Chyba, że się mylę?

Pacek · Post autor: **Pacek** » 14 maja 2010, 11:36

No obawiam się, że tak nie zadziała. Niestety nie było mowy o tym, że PDC jest na Sambie. Ja miałem takie rozwiązanie, że kontroler domeny był na Windows 2003 Server, a witryna WWW na Debianie. Autoryzacja na witrynie była przeprowadzana w oparciu o uwierzytelnianie Kerberos'a z domeny Windows.

mamgdzies · Post autor: **mamgdzies** » 14 maja 2010, 13:32

Nie wspomniałem o tym - to się zgadza. Nie myślałem, że będzie to miało jakieś większe znaczenie, szczególnie, że cały czas myślałem o jakimś module NTLM do Apache. AuthenNTLM powinien działać, ale nie działa z dwoma domenami - łączy się zawsze do jednej (domyślnej).

Dokładnie jest tak, że jedna domena jest na sambie, a druga na Windowsie 2003, a rozwiązanie ma funkcjonować dopóki nie przepnę wszystkich komputerów do nowej domeny na Windowsie.

Niemniej jednak dziękuję bardzo, trochę poczytałem i w przyszłości całkiem możliwe, że się ta wiedza przyda.