針對Active Directory的無縫SSO身份驗證

Question

我有一個網頁，我只希望特定的人群登錄。

我在一所大學工作，我們使用Active Directory帳戶，只有特定的組可以訪問此php頁面（在apache服務器上）。

我知道我可以使用一些PHP代碼來限制訪問，但是我想完成無縫登錄。

每個人都在工作中使用IE7（配置為通過適當的憑據），並且需要登錄到計算機（登錄到域控制器）。

用戶訪問http：// intranet時，由於他們較早登錄到計算機，因此他們將自動登錄。

如果用戶訪問http://intranet.domain.com ，則會提示他們輸入憑據。

我知道我需要使用kerberos進行身份驗證，並使用LDAP進行授權。

有沒有人在無縫身份驗證方面取得成功？

Answer 1

有一些商業產品可以將其作為Apache模塊提供，請參見SPNEGO上Wikipedia文章結尾的鏈接（例如，帶有Apache的SPNEGO指南 ）。 我也知道一些php模塊，例如php_krb5： php_krb5 beta /使用GSSAPI for PHP協商auth或Apache模塊，例如mod_auth_kerb 。 我自己從來沒有用過它們。

至於整個9碼並在PHP中實現Negotiate auth，我在一生中確實在PHP中實現了Digest HTTP Auth的RFC 2617 ，並且確實實現了Windows SSPI身份驗證模塊，但是我從未嘗試過在PHP中實現RFC 4559 。 盡管HTTP auth部分相當瑣碎，但不透明的GSS-API部分卻令人生畏，即使您擁有可用於RFC 2743的良好GSS-API庫。

Answer 2

這是因為您需要將intranet.domain.local添加到IE中的“本地Intranet”區域。 檢查本文以了解詳細信息： http : //www.sysadminlab.net/other/local-intranet-zone-in-ie8-exaplained-for-sysadmins