https://mobile.opennet.me/openforum/vsluhforumID1/81294.html Имется sldap 2.3.30-5 и Apache 2.2.3-4 <br>К Апач подключены модули mod_ldap.so и mod_authnz_ldap.so <br> <br>Ситуация следующая: <br>Компьютер с Windows XP входит в домен. Пользователь в домене зарегистрирован, этому пользователю даны права на доступ к сайту (в файлике .htaccess). <br>При входе на сайт запрашивается логин и пароль (такие же как при входе в домен). При вверном вводе доступ дается. <br>Можно ли сделать так чтобы Apache не запрашивал логин и пароль, а брал текущего пользователя Windows и автоматически давал доступ на сайт?<br> https://mobile.opennet.me/openforum/vsluhforumID1/81294.html#16 Fri, 06 Mar 2009 08:55:52 GMT &gt;[оверквотинг удален]<br>&gt;<br>&gt;Вот блин... :-( <br>&gt;<br>&gt;Судя по всему нет альтернативы, если именно прозрачную аутентификацию нужно. Либо керберус, <br>&gt;либо винбинд. <br>&gt;<br>&gt;Если без прозрачной, то можно через mod_auth_ldap аутентифицировать. Он стабильнее значительно работает. <br>&gt;Но не прозрачно :-( И пароли в отличии от ntlm в <br>&gt;открытом виде по сети ходят (т.е. однозначно SSL'ем надо сверху прикрывать). <br>&gt;<br><br>В том то и фишка, что надо прозрачно - это раз, и чтобы пароли не гуляли по сети. :(<br><br> https://mobile.opennet.me/openforum/vsluhforumID1/81294.html#15 Fri, 06 Mar 2009 08:27:28 GMT &gt;И если бы всех не пускало, или не пускало только в Оперы, <br>&gt;например, то можно что-то придумать. А так через раз и везде <br>&gt;по разному ... <br>&gt;<br>&gt;Буду тоже искать альтернативу ... <br><br>Вот блин... :-(<br><br>Судя по всему нет альтернативы, если именно прозрачную аутентификацию нужно. Либо керберус, либо винбинд.<br><br>Если без прозрачной, то можно через mod_auth_ldap аутентифицировать. Он стабильнее значительно работает. Но не прозрачно :-( И пароли в отличии от ntlm в открытом виде по сети ходят (т.е. однозначно SSL'ем надо сверху прикрывать).<br><br> https://mobile.opennet.me/openforum/vsluhforumID1/81294.html#14 Fri, 06 Mar 2009 08:15:02 GMT &gt;&gt;А mod_auth_kerb позволяет прозрачно авторизировать? <br>&gt;<br>&gt;Да, тоже позволяет. Но иногда какие-то нестыковки возникают. Вроде бы два одинаковых <br>&gt;раб. места, версии ИЕ одинаковые, но с одного работает прозрачная аутентификация, <br>&gt;а с другого упорно логин/пароль запрашивает. <br><br>С mod_auth_ntlm_winbind тоже не все гладко ... :(<br>Бывает, жалуются, что са1йт запрашивает авторизацию и не пускает, даже если авторизироваться.<br>Проверяю под своим аккаунтом - пускает с любого браузера.<br>Проверяю под другим аккаунтом - пускает не во всех браузерах.<br>Проверяю на вирт. машине - то же - под одним пускает, под другим нет.<br>В общем, закономерности не нашел.<br>Самба (winbind) при этом работают нормально.<br>Т.е. видятся групппы, юзеры, сквид работает (авторизация через winbind), сама самба на ширы пускает без проблем ... (этот ззопарк на тестовой машинке).<br>А вот Апач клинит :(<br>И если бы всех не пускало, или не пускало только в Оперы, например, то можно что-то придумать. А так через раз и везде по разному ...<br><br>Буду тоже и https://mobile.opennet.me/openforum/vsluhforumID1/81294.html#13 Fri, 06 Mar 2009 07:01:14 GMT &gt;А mod_auth_kerb позволяет прозрачно авторизировать? <br><br>Да, тоже позволяет. Но иногда какие-то нестыковки возникают. Вроде бы два одинаковых раб. места, версии ИЕ одинаковые, но с одного работает прозрачная аутентификация, а с другого упорно логин/пароль запрашивает.<br><br><br> https://mobile.opennet.me/openforum/vsluhforumID1/81294.html#12 Fri, 06 Mar 2009 06:31:00 GMT &gt;[оверквотинг удален]<br>&gt;apache2. Вроде бы и работоспособно оно, но есть и минусы. Опера <br>&gt;например такой метод аутентификации не понимает. И при не прозрачной аутентификации <br>&gt;(т.е. когда логин/пароль надо вводить) отдача контента сильно затормаживается. Надеюсь через <br>&gt;винбинд удобнее будет... <br>&gt;<br>&gt;&gt;Это другой - http://modntlm.sourceforge.net/ <br>&gt;&gt;Но он что-то не заработал у меня. <br>&gt;&gt;Может что оба модуля подключал, а директивы похожи ... <br>&gt;<br>&gt;Этот модуль я знаю. Умерший уже проект. И NTLMv2 не умеет изначально. <br><br>А mod_auth_kerb позволяет прозрачно авторизировать?<br>Насколько я помню, то только basic (ввод логина, пароля).<br><br><br> https://mobile.opennet.me/openforum/vsluhforumID1/81294.html#11 Fri, 06 Mar 2009 05:18:13 GMT &gt;http://adldap.sourceforge.net/wiki/doku.php?id=mod_auth_ntlm_winbind <br><br>Спасибо! Буду изучать.<br><br>В настоящий момент для аутентификации пользователей через MS AD используем mod_auth_kerb на apache2. Вроде бы и работоспособно оно, но есть и минусы. Опера например такой метод аутентификации не понимает. И при не прозрачной аутентификации (т.е. когда логин/пароль надо вводить) отдача контента сильно затормаживается. Надеюсь через винбинд удобнее будет...<br><br>&gt;Это другой - http://modntlm.sourceforge.net/ <br>&gt;Но он что-то не заработал у меня. <br>&gt;Может что оба модуля подключал, а директивы похожи ... <br><br>Этот модуль я знаю. Умерший уже проект. И NTLMv2 не умеет изначально.<br><br><br> https://mobile.opennet.me/openforum/vsluhforumID1/81294.html#10 Thu, 05 Mar 2009 12:56:18 GMT &gt;&gt;&gt;&gt;Используйте самбу и NTLM (mod_auth_ntlm_winbind.so). <br>&gt;&gt;Под FreeBSD работает без проблем. <br>&gt;<br>&gt;А не подскажите, где его (mod_auth_ntlm_winbind) брать под фрю? <br>&gt;В портах нету. <br>&gt;Где страница разработчиков живет тоже не смог нагуглить. :-( <br><br>http://adldap.sourceforge.net/wiki/doku.php?id=mod_auth_ntlm_winbind<br><br>Это другой - http://modntlm.sourceforge.net/<br>Но он что-то не заработал у меня.<br>Может что оба модуля подключал, а директивы похожи ...<br> https://mobile.opennet.me/openforum/vsluhforumID1/81294.html#9 Thu, 05 Mar 2009 12:02:17 GMT &gt;&gt;&gt;Используйте самбу и NTLM (mod_auth_ntlm_winbind.so). <br>&gt;Под FreeBSD работает без проблем. <br><br>А не подскажите, где его (mod_auth_ntlm_winbind) брать под фрю?<br>В портах нету.<br>Где страница разработчиков живет тоже не смог нагуглить. :-(<br><br> https://mobile.opennet.me/openforum/vsluhforumID1/81294.html#8 Fri, 25 Jul 2008 08:00:34 GMT &gt;&gt;&gt;<br>&gt;&gt;&gt;&gt;Можно ли сделать так чтобы Apache не запрашивал логин и пароль, а <br>&gt;&gt;&gt;&gt;брал текущего пользователя Windows и автоматически давал доступ на сайт? <br>&gt;&gt;&gt;<br>&gt;&gt;&gt;Нельзя. <br>&gt;&gt;<br>&gt;&gt;Используйте самбу и NTLM (mod_auth_ntlm_winbind.so). <br>&gt;<br>&gt;Если сумеете победить SELinux и winbind_privileged ;) <br><br>:)<br>Под FreeBSD работает без проблем.<br>