Задний план:
Глобальная компания с несколькими офисами и разрозненными сетями и ИТ-системами. Большинство сетей основаны на Windows и работают с Active Directory, а некоторые подключены через ADFS. Некоторые из них представляют собой чистые сети MAC. В одном месте нет контроллера сети или домена.
Внешний веб-сайт, размещенный в среде LAMP (Centos 6, Apache 2.2, MySQL 5.1, PHP 5.3), действует как внутренняя сеть компании. В настоящее время пользователи должны входить в интрасеть с другим набором учетных данных для своей учетной записи домена.
Сценарий:
Веб-группа хочет, чтобы пользователи могли пользоваться бесшовной аутентификацией, чтобы им не нужно было входить в интрасеть при доступе изнутри любой из корпоративных сетей, но также чтобы они могли использовать свои учетные данные домена при доступе к сайту из дома или за его пределами. офис.
У других пользователей по-прежнему будут отдельные имя пользователя и пароль.
На рассмотрение:
Я прошел через форум и нашел ряд сообщений и ответов, которые уводят меня в сторону, но все же оставляют у меня несколько вопросов, главный из которых: Можем ли мы добиться бесшовной аутентификации корпоративных пользователей на внешнем веб-сайте?
Некоторые из сообщений, которые я просмотрел
Для всех, кто наткнулся на этот пост, мы сделали следующее:
Наверное, не идеально, но работает.
Настройте VPN между веб-сервером
Простой ответ - да, это возможно.
Я отредактировал вопрос, указав шаги, которые мы предприняли для обеспечения бесшовной аутентификации. Я пропустил конфигурацию туннеля VPN, поскольку это не входило в мои полномочия, но в основном вам нужно разрешить двунаправленный трафик TCP / UDP через порты 88 и 750 для Kerberos.