特定のグループのみにログインさせたい Web ページがあります。
私は大学で働いており、Active Directory アカウントを使用しており、特定のグループのみがこの php ページ (Apache サーバー上) にアクセスできます。
一部の PHP コードでアクセスを制限できることはわかっていますが、シームレスなログインを実現したいと考えています。
誰もが職場で IE7 を使用し (適切な資格情報を渡すように構成されています)、コンピューターにログインする必要があります (ドメイン コントローラーにログインします)。
ユーザーがhttp://intranetにアクセスすると、以前にコンピューターにログインしたため、自動的にログインされます。
ユーザーがhttp://intranet.domain.comにアクセスすると、資格情報の入力を求められます。
認証には kerberos を使用し、承認には LDAP を使用する必要があることはわかっています。
シームレスな認証に成功した人はいますか?
これを Apache モジュールとして提供する商用製品があります。SPNEGO に関するウィキペディアの記事の最後にあるリンクを参照してください(例: Guide to SPNEGO with Apache )。php_krb5: php_krb5 beta / Negotiate auth with GSSAPI for PHPのようないくつかの php モジュール、またはmod_auth_kerbのような Apache モジュールも知っています。私はそれらを自分で使用したことはありません。
9 ヤード全体を移動し、PHP でネゴシエート認証を実装することに関しては、私はDigest HTTP 認証のために PHP でRFC 2617を実装し、 Windows SSPI 認証モジュールを実装しましたが、PHP でRFC 4559を実装しようとしたことはありません。HTTP auth の部分はかなり些細なことですが、不透明な GSS-API の部分は、たとえRFC 2743用に自由に使える優れた GSS-API ライブラリを持っていたとしても、気が遠くなるようなものです。
これは、IE のローカル イントラネット ゾーンに intranet.domain.local を追加する必要があるためです。詳細については、この記事を確認してください: http://www.sysadminlab.net/other/local-intranet-zone-in-ie8-exaplained-for-sysadmins