The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Гибрид SSPI и Basic авторизации в Apache 2.2"
Вариант для распечатки  
Пред. тема | След. тема 
Форум WEB технологии (Apache, http-серверы)
Изначальное сообщение [ Отслеживать ]

"Гибрид SSPI и Basic авторизации в Apache 2.2"  +/
Сообщение от Truman (ok) on 28-Сен-11, 14:44 
Приветствую! Возникла проблема - нужно чтобы доступ к сайту имели некоторые пользователи домена (пусть будет DOMAIN\Admin) и некоторые пользователи "извне" (пусть будет test)

В файле .htaccess делал нечто подобное:

  AuthType SSPI
  SSPIAuth           On

  SSPIOfferSSPI         On
  SSPIAuthoritative  Off
  SSPIOfferBasic     Off
  SSPIBasicPreferred Off

  AuthType Basic
  AuthName "Input Login / Password"
  AuthBasicAuthoritative Off
  AuthUserFile C:/apache/localhost/cgi-bin/.passwd

  require user DOMAIN\Admin test

перепробовал все возможные сочетания параметров (менял Off на On и наоборот), изменял порядок загрузки модулей в httpd.conf:

LoadModule auth_basic_module modules/mod_auth_basic.so
LoadModule sspi_auth_module modules/mod_auth_sspi.so


Но работает все равно только что-то одно - или SSPI, или Basic, а одновременно не получается.

У кого-нибудь работает реально такой гибрид авторизации? Не обязательно именно с этими модулями, может быть с другими...

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Гибрид SSPI и Basic авторизации в Apache 2.2"  +/
Сообщение от midori (ok) on 28-Сен-11, 21:37 
не меняйте значения опций наугад - это дурная привычка, почитайте лучше что-нибудь полезное по теме! шутка))) конечно же можно поиграть и в рулетку "on or off" ) ну, а теперь к теме, замечу, что материала на тему sspi модуля просто НЕТ (он конечно есть, но это больше к теме философии)
Для того, чтобы работала базовая аутентификация в дополнение к SSPI, вам придется создать листинг для различных директории, используя
<Location /directory1>
  AuthType Basic
  blah-blah
</Location>

и
<Location /directory2>
  AuthType SSPI
  blah-blah
</Location>

если это вас не устраивает, то можно использовать host-based авторизацию, где можно использовать два типа авторизации на одну директорию с опцией "Satisfy Any"

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Гибрид SSPI и Basic авторизации в Apache 2.2"  +/
Сообщение от midori (ok) on 28-Сен-11, 22:14 
вот так в одной конторе у меня работает авторизация к svn:::::
LoadModule sspi_auth_module modules/mod_auth_sspi.so
LoadModule auth_basic_module modules/mod_auth_basic.so

--------------------------------------
<Location /svn/>
    DAV svn
    SVNListParentPath on
    SVNParentPath "G:/svn/reposs"

    AuthName "SVN Repository VI"

    # NT Domain Logins
    AuthType SSPI
    SSPIAuth On
    SSPIAuthoritative Off
    SSPIDomain LEGAL
    SSPIOfferBasic On
    
    # Htpasswd Logins
    AuthType Basic
    AuthBasicAuthoritative Off
    AuthUserFile "conf/.htpasswd"

    Require valid-user

    Order deny,allow
    Allow from all

        #Allow from 213.5.xx.xxx
        #Allow from 172.16.8.
        #Satisfy Any

    AuthzSVNAccessFile "conf/svnaccess.conf"
</Location>


-------------------------------------
conf/svnaccess.conf
[groups]
admin = kamutoherovato, admin
dev = ribka, dablya, vot
clients = vasya, yanevasya
guests = demo, project

# Default access rule for ALL repositories
# admin can r/w all
[/]
@admin = rw

# Project A
[project-a:/]
@dev = rw
@clients = r
@guests = r

# Project B
[project-b:/]
@clients = rw
someid = r

# Project C (beta)
[project-c:/]
@clients = r
someid = r

так что - курите, сэр бамбук!

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Гибрид SSPI и Basic авторизации в Apache 2.2"  +/
Сообщение от Truman (ok) on 29-Сен-11, 12:26 
Спасибо! Вариант с разграничениям прав по каталогам с разграничением через IP - работает! По крайней мере, сейчас это у меня единственный рабочий вариант... Хотя конечно не самый удобный (держать два одинаковых каталога)

Покопал в сторону Satisfy Any - вот это было бы отлично... Если бы я смог получить имя в домене! Авторизуюсь я нормально, но когда захожу из-под домена - у меня нету имени пользователя, а оно мне нужно...

Вот и очередной вопрос... Могу ли я в .htaccess получить имя пользователя домена, не требуя регистрации?

SetEnv DOMAIN_USER <Вот как здесь получить имя пользователя из домена>

Есть вариант как это сделать?

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Гибрид SSPI и Basic авторизации в Apache 2.2"  +/
Сообщение от midori (ok) on 29-Сен-11, 23:33 
может я не совсем понял, но!? Вы хотите знать/использовать username подключившегося пользователя устанавливая переменную окружения сервера DOMAIN_USER? для каких целей, если ДА?

> Вот и очередной вопрос... Могу ли я в .htaccess получить имя пользователя
> домена, не требуя регистрации?

про регистрацию подробней!

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "Гибрид SSPI и Basic авторизации в Apache 2.2"  +/
Сообщение от Truman (ok) on 30-Сен-11, 09:15 
> может я не совсем понял, но!? Вы хотите знать/использовать username подключившегося пользователя
> устанавливая переменную окружения сервера DOMAIN_USER? для каких целей, если ДА?
>> Вот и очередной вопрос... Могу ли я в .htaccess получить имя пользователя
>> домена, не требуя регистрации?
> про регистрацию подробней!

Подумал - если мы пришли с чужих IP - нужна Basic авторизация

А если со своих - то мы из своего домена... Но тогда нужно имя пользователя. Чтобы использовать его в дальнейшем, в скриптах...

Впрочем я думаю сейчас это небезопасно... буду разрабатывать вариант с разными каталогами, тем более что он работает...

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2021 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру