我有一個網頁,我只希望特定的組登錄。無縫SSO根據Active Directory進行身份驗證
我在一所大學工作,我們使用活動目錄賬戶,只有某個組可以訪問這個PHP頁面(在Apache服務器上)。
我知道我可以限制訪問一些PHP代碼,但我想完成無縫登錄。
每個人都使用IE7在工作(其被配置爲通過適當的憑證),並登錄到計算機(其記錄它們到域控制器)是必需的。
當用戶進入http://intranet,他們將自動登錄,因爲他們登錄到自己的電腦前面。
如果用戶轉到http://intranet.domain.com,它將提示他們輸入憑據。
我知道我需要使用kerberos進行身份驗證,並使用LDAP進行授權。
有沒有人在無縫驗證方面取得成功?
有一些商業產品提供此模塊作爲Apache模塊,請參閱維基百科文章末尾的鏈接SPNEGO(例如,Guide to SPNEGO with Apache)。我也知道一些php模塊,如php_krb5:php_krb5 beta/Negotiate auth with GSSAPI for PHP,或Apache模塊,如mod_auth_kerb。儘管我從未使用過它們。
至於去整個9碼和執行協商身份驗證在PHP中,我在我的生活RFC 2617在PHP中的精華HTTP認證並實現和我沒有實現Windows SSPI身份驗證模塊,但我從來沒有試圖在PHP來實現RFC 4559。雖然HTTP認證的部分是相當瑣碎,不透明GSS-API部分是艱鉅的,甚至還提供您在您的處置RFC 2743有很好的GSS-API庫。
這是因爲你需要intranet.domain.local添加到IE本地Intranet區域。檢查這篇文章的詳細信息:http://www.sysadminlab.net/other/local-intranet-zone-in-ie8-exaplained-for-sysadmins