我有一个网页,我只希望特定的组登录。无缝SSO根据Active Directory进行身份验证
我在一所大学工作,我们使用活动目录账户,只有某个组可以访问这个PHP页面(在Apache服务器上)。
我知道我可以限制访问一些PHP代码,但我想完成无缝登录。
每个人都使用IE7在工作(其被配置为通过适当的凭证),并登录到计算机(其记录它们到域控制器)是必需的。
当用户进入http://intranet,他们将自动登录,因为他们登录到自己的电脑前面。
如果用户转到http://intranet.domain.com,它将提示他们输入凭据。
我知道我需要使用kerberos进行身份验证,并使用LDAP进行授权。
有没有人在无缝验证方面取得成功?
有一些商业产品提供此模块作为Apache模块,请参阅维基百科文章末尾的链接SPNEGO(例如,Guide to SPNEGO with Apache)。我也知道一些php模块,如php_krb5:php_krb5 beta/Negotiate auth with GSSAPI for PHP,或Apache模块,如mod_auth_kerb。尽管我从未使用过它们。
至于去整个9码和执行协商身份验证在PHP中,我在我的生活RFC 2617在PHP中的精华HTTP认证并实现和我没有实现Windows SSPI身份验证模块,但我从来没有试图在PHP来实现RFC 4559。虽然HTTP认证的部分是相当琐碎,不透明GSS-API部分是艰巨的,甚至还提供您在您的处置RFC 2743有很好的GSS-API库。
这是因为你需要intranet.domain.local添加到IE本地Intranet区域。检查这篇文章的详细信息:http://www.sysadminlab.net/other/local-intranet-zone-in-ie8-exaplained-for-sysadmins