現在、CMS(PHPで開発)認証をActiveDirectoryと統合しています。この特定のActiveDirectoryは、Kerberosまたはldaps://を介した認証のみを許可します(ただし、絶対パスを使用する必要があるため、この最後のディレクトリは最も必要ではありません)。
PHP AD Kerberos認証について何かをウェブで検索してきましたが、何も見つかりませんでした。誰かが私を正しい方向に向けることができますか?
前もって感謝します。
9779 次
3 に答える
3
Active Directoryを使用している場合、WebサーバーはIISである可能性があります。これには、Kerberos *が組み込まれています。次に、ブラウザーとWebサーバーに認証を処理させ、次のようなPHPを使用します。
$ user = isset($ _ SERVER ['AUTH_USER'])?$ _SERVER ['AUTH_USER']:false;
if((false === $ user)または('' == $ user)){
//間違ったパスワードページに転送します。
// MSIEは通常3回試行します、Kerb / NTLM / Plain
// FFは、NTLM用に構成されている場合にのみNTLM/Plainを試行します
//Chrome..これではまったく動作しません..私が発見したことではありません。
// Apacheを使用してローカルでテストする場合、ユーザーは0になります
}
これで、Kerberosを使用してSSOを実行できるようになり、魅力的に機能します。
*:「統合Windows認証」http://support.microsoft.com/kb/324274と呼ばれ、「セキュリティゾーン」を「ローカルイントラネット」に設定してブラウザで有効にする必要があります。これは、IISボックスが実際にオンになっている場合に発生する可能性があります。ローカルイントラネット..ただし、SPNとドメイン、ユーザーボックスとIISボックス、および信頼関係によって異なります。ドメイン名/マシン名が同じ単一のドメイン上にある場合は、機能するはずです。クラスタリングや何か楽しいことをしている場合は、通常の頭痛だけでなく、大きな頭痛を期待してください。必要に応じて、IE設定のスクリプト/GPOを実行できます。
うまくいけば、あなたは何か他のことを質問しています..これを実装しなかったとしたら、すべてのリクエストに対して認証プロセス全体が発生します..結果として、すべてのページの読み込みが遅くなります..集計の数に関係なく実装する/hacks/回避策..それは悪い考えでしたが、一度開始するか、マネージャーにそれについて話すと、再度ログインする必要がなくなるため、彼らは本当にそれを気に入っています..ああ、彼らはまだ速度について不平を言うでしょうが、 ..
于 2010-02-20T07:00:11.500 に答える
2
フリーウェアソリューションではありません-「Plexcel」キーワードによるグーグル
于 2009-09-07T15:02:07.560 に答える
1
PHP用のkrb5モジュールがあります。まだパッケージ化されていませんが、PECLエントリがあります。あなたはここでそれについてもっと知ることができます:
http://mbechler.eenterphace.org/blog/index.php?/archives/12-php_krb5-releases.html
于 2013-05-07T19:25:01.843 に答える