SingleSignOn über ActiveDirectory in Apache 2.4

Aus ITwiki
Version vom 9. Dezember 2020, 16:41 Uhr von Franky (Diskussion | Beiträge)

(Unterschied) ← Nächstältere Version | Aktuelle Version (Unterschied) | Nächstjüngere Version → (Unterschied)
Wechseln zu: Navigation, Suche

Hier wird die Installation des SingleSignOn mit Apache 2.4 unter Windows beschrieben.

Installation der Dateien für Apache 2.4[Bearbeiten]

Der Apache Dienst muss unter einem Lokalem oder Domänen-Benutzer ausgeführt werden.

Benötigte Dateien[Bearbeiten]

  • Download von mod_authnz_sspi unter https://www.apachehaus.net/modules/mod_authnz_sspi (die Architektur x86 oder x64 muss zum installierten Apache Dienst passen)
  • Speichern der Datei mod_authnz_sspi.so im Verzeichnis Apache24\modules
  • Speichern der Datei sspipkgs.exe im Verzeichnis Apache24\bin

Konfiguration der httpd.conf[Bearbeiten]

Folgende Einträge müssen auskommentiert sein: 

LoadModule authn_core_module modules/mod_authn_core.so
LoadModule authnz_ldap_module modules/mod_authnz_ldap.so
LoadModule authz_core_module modules/mod_authz_core.so
LoadModule ldap_module modules/mod_ldap.so

Folgender Eintrag muss hinzugefügt werden (am Ende der anderen Module) 

LoadModule authnz_sspi_module modules/mod_authnz_sspi.so

Das zu schützende Verzeichnis muss entsprechend definiert werden: 

<Directory "C:\Websites">
   Options None
   AllowOverride All
   
   AuthName "Intranet Anwendungen"
   AuthType SSPI
   SSPIAuth On
   SSPIOfferBasic On
   SSPIOmitDomain On
   Require valid-sspi-user
</Directory>

Folgende Einstellungen sind möglich:

  • AuthName: Name der Authentifizierung.
  • AuthType SSPI: Typ der Authentifizierung.
  • SSPIAuth: Setze diese Option auf On, um die SSPI Authentifizierung zu aktivieren.
  • SSPIOfferBasic: Setze diese Option auf Off, um SSPI zu deaktivieren.
  • SSPIAuthoritative: Setze diese Option auf On.
  • SSPIDomain: Trage die Domäne ein, in der die Authentifizierung implementiert wurde. Fall ein Developement Server konfiguriert wird, entferne diese Option.
  • SSPIOmitDomain: Setze diese Option auf On, um den Benutzernamen ohne Domäne zu erhalten. Fall ein Developement Server konfiguriert wird, setze diese Option auf Off.
  • Require: Setze diese Option auf valid-sspi-user, damit nur gültige Benutzer Zugriff auf die Seite bekommen.

Firefox Einstellung[Bearbeiten]

Um den SingleSignOn im Firefox am Client ohne Anmeldung zu ermöglichen, muss folgendes durchgeführt werden:

  • Öffne den Firefox am Client.
  • Gib in der Adresszeile about:config ein.
  • Suche nach trust.
  • Editiere den Eintrag network.automatic-ntlm-auth.trusted-uris und trage dort die Domäne oder den Servernamen inkl. Domäne des Servers ein, auf dem der Apache läuft:
    network.automatic-ntlm-auth.trusted-uris       webserver.meine-domaene.de
  • Editiere den Eintrag network.negotiate-auth.trusted-uris und trage die selben Werte ein:
    network.negotiate-auth.trusted-uris            webserver.meine-domaene.de

Ermitteln des Benutzers mit PHP[Bearbeiten]

In PHP ist nun in den Variablen $_SERVER['REMOTE_USER'] und $_SERVER['PHP_AUTH_USER'] der am Client angemeldete Benutzer enthalten.

Abgerufen von „http://wiki.butzhammer.de/index.php?title=SingleSignOn_über_ActiveDirectory_in_Apache_2.4&oldid=3153