|
ru.unix.bsd
- RU.UNIX.BSD ------------------------------------------------------------------
From : Alex Gotlib 2:5080/1003 21 Mar 2005 14:51:23
To : Victor Sudakov
Subject : Re: Apache + mod_auth_kerb 5.0 в доменной среде Win2k/XP
--------------------------------------------------------------------------------
Hail there Victor!
Sun, 20 Mar 2005 at 13:40 GMT Victor Sudakov wrote:
VS> Это смотря что тебе нужно. Просто проверка логина/пароля в AD для
VS> пользователей сайта делается с помощью mod_auth_ldap.
Сенкс. Буду иметь в виду. Я подобный вариант рассматривал, только сам
хотел на ПХП/перле модуль аутентификационный писать.
VS> Если же тебе надо, чтобы у залогиненых в AD браузер не спрашивал
VS> пароль, а прозрачно аутентифицировал - это уже другая задача, мы это
VS> не пробовали.
А хотелось бы именно этого.
Причем частично подобное уже работает (для одного сайта и для
одного домен контроллера). Осталось понять, как подобное же провернуть для N
сайтов и для многодоменного окружения. :-)
Вот, например, конкретный вопрос. Чтобы получить возможность
аутентифицировать апачем через Win2k AD, нужно для каждого сайта мапить
керберусовый принципал на какого-нибудь пользователя в AD (например - "ktpass
-princ HTTP/www1.domain.ru@DOMAIN.RU -mapuser dummy1 -crypto DES-CBC-MD5
-pass * -out c:\temp\keytab1). В результате имеем keytab, который подсовываем
фре в /etc/krb5.keytab. Потом кое-чего говорим апачу и радуемся прозрачной
атентификации в ИЕ 6.х (вроде бы в свежей мозилле тоже должно работать).
Hо если у нас несколько сайтов, то получаем и несколько keytab'ов.
Как их в один /etc/krb5.keytab правильно упаковать?
--
WBR, Alexander B. Gotlib,
mailto:alex@cca.usart.ru / ICQ# 13043204.
-|- -|-
--- ifmail v.2.15dev5
* Origin: (http://news.cca.usart.ru/) USURT's FidoNET<-> (2:5080/1003@fidonet)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
