SingleSignOn über ActiveDirectory in Apache 2.4: Unterschied zwischen den Versionen
Aus ITwiki
Franky (Diskussion | Beiträge) (Die Seite wurde neu angelegt: „Hier wird die Installation des SingleSignOn mit Apache 2.4 unter Windows beschrieben. ==Apache Installation== Der Apache Dienst muss unter einem Lokalem oder…“) |
Franky (Diskussion | Beiträge) |
||
| Zeile 61: | Zeile 61: | ||
In PHP ist nun in den Variablen <code>$_SERVER['REMOTE_USER']</code> und <code>$_SERVER['PHP_AUTH_USER']</code> der am Client angemeldete Benutzer enthalten. | In PHP ist nun in den Variablen <code>$_SERVER['REMOTE_USER']</code> und <code>$_SERVER['PHP_AUTH_USER']</code> der am Client angemeldete Benutzer enthalten. | ||
| − | [Kategorie:Webserver] | + | [[Kategorie:Webserver]] |
Version vom 9. Dezember 2020, 17:39 Uhr
Hier wird die Installation des SingleSignOn mit Apache 2.4 unter Windows beschrieben.
Inhaltsverzeichnis
Apache Installation
Der Apache Dienst muss unter einem Lokalem oder Domänen-Benutzer ausgeführt werden.
Installation der nötigen Dateien
- Download von mod_authnz_sspi unter https://www.apachehaus.net/modules/mod_authnz_sspi (die Architektur x86 oder x64 muss zum installierten Apache Dienst passen)
- Speichern der Datei
mod_authnz_sspi.soim VerzeichnisApache24\modules - Speichern der Datei
sspipkgs.exeim VerzeichnisApache24\bin
Konfiguration der httpd.conf
Folgende Einträg müssen auskommentiert sein:
LoadModule authn_core_module modules/mod_authn_core.so LoadModule authnz_ldap_module modules/mod_authnz_ldap.so LoadModule authz_core_module modules/mod_authz_core.so LoadModule ldap_module modules/mod_ldap.so
Folgender Eintrag muss hinzugefügt werden (am Ende der anderen Module)
LoadModule authnz_sspi_module modules/mod_authnz_sspi.so
Das zu schützende Verzeichnis muss entsprechend definiert werden:
<Directory "C:\Websites"> Options None AllowOverride All AuthName "Intranet Anwendungen" AuthType SSPI SSPIAuth On SSPIOfferBasic On SSPIOmitDomain On Require valid-sspi-user </Directory>
Folgende Einstellungen sind möglich:
- AuthName: Name der Authentifizierung.
- AuthType SSPI: Typ der Authentifizierung.
- SSPIAuth: Setze diese Option auf On, um die SSPI Authentifizierung zu aktivieren.
- SSPIOfferBasic: Setze diese Option auf Off, um SSPI zu deaktivieren.
- SSPIAuthoritative: Setze diese Option auf On.
- SSPIDomain: Trage die Domäne ein, in der die Authentifizierung implementiert wurde. Fall ein Developement Server konfiguriert wird, entferne diese Option.
- SSPIOmitDomain: Setze diese Option auf On, um den Benutzernamen ohne Domäne zu erhalten. Fall ein Developement Server konfiguriert wird, setze diese Option auf Off.
- Require: Setze diese Option auf valid-sspi-user, damit nur gültige Benutzer Zugriff auf die Seite bekommen.
Firefox Einstellung
Um den SingleSignOn im Firefox am Client ohne Anmeldung zu ermöglichen, muss folgendes durchgeführt werden:
- Öffne den Firefox am Client.
- Gib in der Adresszeile
about:configein. - Suche nach trust.
- Editiere den Eintrag network.automatic-ntlm-auth.trusted-uris und trage dort die Domäne oder den Servernamen inkl. Domäne des Servers ein, auf dem der Apache läuft:
network.automatic-ntlm-auth.trusted-uris webserver.meine-domaene.de - Editiere den Eintrag network.negotiate-auth.trusted-uris und trage die selben Werte ein:
network.negotiate-auth.trusted-uris webserver.meine-domaene.de
Ermitteln des Benutzers mit PHP
In PHP ist nun in den Variablen $_SERVER['REMOTE_USER'] und $_SERVER['PHP_AUTH_USER'] der am Client angemeldete Benutzer enthalten.
