Strona 1 z 1
Apache2 - uwierzytelnianie z dwóch domen?
: 11 maja 2010, 09:37
autor: mamgdzies
Chciałbym uwierzytelniać użytkowników dwóch niezależnych domen próbujących się dostać na stronę intranetową. Zainstalowałem moduł AuthenNTLM, skonfigurowałem ,,default'' i ,,fallback domain'', tyle tylko, że moduł łączy się zawsze z domyślną domeną, a chciałbym aby łączył się z domeną przekazaną przez użytkownika wraz z loginem np. domena1\użytkownik lub domena2\użytkownik.
Być może taki efekt mogę osiągnąć z użyciem czegoś innego niż AuthenNTLM, lub przez modyfikację tego modułu.
Jeśli zna ktoś z Was sposób lub ma jakiś pomysł od której strony to ,,ugryźć''?
Dziękuję i pozdrawiam.
: 11 maja 2010, 16:15
autor: ksysinek
A nie łatwiej przez pliki .htaccess i .htpasswd? Wystarczy tylko umieścić w odpowiednim folderze. Potrafią chronić całą domenę jak i wybrany katalog.
: 12 maja 2010, 10:30
autor: mamgdzies
A nie łatwiej przez pliki .htaccess i .htpasswd?
Może i łatwiej, ale chciałbym aby użytkownicy logowali się automatycznie z użyciem swojej nazwy użytkownika i hasła z domeny. Ów Apache działa jako serwer intranetowy.
Zresztą w tej chwili tak to działa, zmiana hasła przez użytkownika "zmienia" automatycznie hasło do strony intranetowej i wszystko jest transparentne dla użytkownika - pamięta jedną nazwę i hasło. Tyle tylko, że przez pewien czas zamiast
jednej będą funkcjonować
dwie odrębne domeny.
: 13 maja 2010, 15:06
autor: Pacek
Możliwe, że lepiej wykorzystać do tego Apache'a wraz z modułem Kerberos'a. Pozwala to na automatyczne logowanie na zabezpieczoną stronę. Ponadto można wprowadzić domeny, które mogą mieć dostęp do danej witryny. Ja jakiś czas temu robiłem taki wynalazek i nawet to działało. Internet Explorer sam się będzie logował na witrynę (ponieważ bilet kerberosa jest przechowywany po zalogowaniu i IE go wykorzystuje do uwierzytelniania), natomiast Mozilla wymaga wprowadzenia loginu w postaci
[email protected] oraz hasła, ale można ponoć w Mozilli wymusić domenę logowania. Pogooglowałem chwilkę i znalazłem pomocny artykuł w języku angielskim:
http://michele.pupazzo.org/diary/?p=460
: 14 maja 2010, 10:18
autor: mamgdzies
O ile kojarzę to z kontrolerem domeny na sambie to nie zadziała. Chyba, że się mylę?
: 14 maja 2010, 11:36
autor: Pacek
No obawiam się, że tak nie zadziała. Niestety nie było mowy o tym, że PDC jest na Sambie. Ja miałem takie rozwiązanie, że kontroler domeny był na Windows 2003 Server, a witryna WWW na Debianie. Autoryzacja na witrynie była przeprowadzana w oparciu o uwierzytelnianie Kerberos'a z domeny Windows.
: 14 maja 2010, 13:32
autor: mamgdzies
Nie wspomniałem o tym - to się zgadza. Nie myślałem, że będzie to miało jakieś większe znaczenie, szczególnie, że cały czas myślałem o jakimś module NTLM do Apache. AuthenNTLM powinien działać, ale nie działa z dwoma domenami - łączy się zawsze do jednej (domyślnej).
Dokładnie jest tak, że jedna domena jest na sambie, a druga na Windowsie 2003, a rozwiązanie ma funkcjonować dopóki nie przepnę wszystkich komputerów do nowej domeny na Windowsie.
Niemniej jednak dziękuję bardzo, trochę poczytałem i w przyszłości całkiem możliwe, że się ta wiedza przyda.