Назад | Перейти на главную страницу

Apache mod_auth_ldap и аутентификация AD с использованием IE

Я хочу знать, можно ли настроить Apache для аутентификации в ActiveDirectory, чтобы пользователи могли использовать SIngle Sign-on. Я знаю, что Internet Explorer может его использовать, и это называется аутентификацией Windows.

Вы можете использовать authnz для выполнения этой самой задачи.

http://httpd.apache.org/docs/2.2/mod/mod_authnz_ldap.html

Вам нужно будет создать непривилегированную учетную запись для Apache, чтобы подключиться к AD для выполнения аутентификации. Можно делать такие вещи, как условное разрешение доступа людям на основе членства в группах. Кроме того, вы должны иметь возможность добавлять URL-адреса на доверенные сайты и прозрачно передавать кредиты IE, чтобы не требовалось взаимодействия с пользователем для входа в систему.

«Проверка подлинности Windows» IE - это NTLM - по крайней мере, более старые версии. (Я думаю, что текущая «проверка подлинности Windows» не требует согласования). Вам понадобится mod_ntlm или mod_auth_ntlm_winbind для NTLMv2. Я думаю, что более поздние версии IE и Windows также могут использовать GSSAPI через согласование, что будет работать с использованием mod_auth_kerb. Преимущество GSSAPI в том, что его можно заставить работать со всеми основными браузерами и платформами.

Короткий ответ - возможно.