Apache24 сквозная аутентификация с AD

Простые/общие вопросы по UNIX системам. Спросите здесь, если вы новичок

Модераторы: vadim64, terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
DragSanWay
проходил мимо
Сообщения: 7
Зарегистрирован: 2015-06-10 15:28:09

Apache24 сквозная аутентификация с AD

Непрочитанное сообщение DragSanWay » 2015-06-10 15:50:45

Установлен OTRS в связке с AD. (Win2008(AD) - FreeBSD(OTRS))
К ней претензий нет.
По ряду причин, есть необходимость сделать так, что бы пользователи сразу попадали на страницу заполнения заявки, без ввода логина и пароля.
По официальному руководству: http://otrs.github.io/doc/manual/admin/ ... kends.html
Ничего не вышло. Поиск по великому и обширному привёл к mod_authnz_sspi, но он работает только с Apache22.(и FreeBSD выдал что порт Broken)
Порт я всё же нашел https://www.apachehaus.net/modules/mod_authnz_sspi/, но он для Win-платформы.
Теперь сам вопрос:
Уважаемые, подскажите какой порт нужно использовать вместо mod_authnz_sspi ?

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
skeletor
майор
Сообщения: 2508
Зарегистрирован: 2007-11-16 18:22:04
Откуда: Kiev
Контактная информация:

Apache24 сквозная аутентификация с AD

Непрочитанное сообщение skeletor » 2015-06-11 11:21:42

sspi под *nix нет. либо переползать обратно на винду, либо писать самому модуль.
"Винда съела дрова и резет здесь не фурычит."
"Все говорят, что у меня /dev/hands криво и я всё делаю через /dev/ass. А у меня этих фалов вообще нет!"

Гость
проходил мимо

Apache24 сквозная аутентификация с AD

Непрочитанное сообщение Гость » 2015-06-11 12:29:40

Сам не напишу.
Сейчас тестирую как вариант mod_auth_pubtkt.

DragSanWay
проходил мимо
Сообщения: 7
Зарегистрирован: 2015-06-10 15:28:09

Apache24 сквозная аутентификация с AD

Непрочитанное сообщение DragSanWay » 2015-07-01 16:19:30

Я скоро окончательно сломаю себе мозги ....

Переменная $ENV{REMOTE_USER} при тестировании не имеет значения.
как ей присвоить значение текущего пользователя (AD) на данной машине?

Отправлено спустя 1 час 47 минут 26 секунд:
Есть мысль, что Win7 по параметрам безопасности не выдаёт данные по пользователю (IE8).
Вот только не понятно где и какой параметр за это отвечает.

Аватара пользователя
Mox
лейтенант
Сообщения: 757
Зарегистрирован: 2008-12-16 16:04:14
Откуда: питер
Контактная информация:

Apache24 сквозная аутентификация с AD

Непрочитанное сообщение Mox » 2015-07-02 13:15:52

Я не спец, но Kerberos никак тут не поможет?
"В мире программирования алгоритмы становятся более важными, чем код, и именно из-за академических корней в BSD изначально большое внимание уделялось проработке алгоритмов". Мэтт Диллон

DragSanWay
проходил мимо
Сообщения: 7
Зарегистрирован: 2015-06-10 15:28:09

Apache24 сквозная аутентификация с AD

Непрочитанное сообщение DragSanWay » 2015-07-08 12:38:20

До него (mod_auth_kerb2) и добрался в своих тестах.

Отправлено спустя 43 секунды:
но что-то не выходит "каменный цветок".

Отправлено спустя 30 минут 59 секунд:
апач должен получить с машины пользователя значение $ENV{REMOTE_USER} (Perl)
По описанию:
Переменная окружения REMOTE_USER устанавливается apache в случае, если скрипт защищен паролем. Идёт ссылка на .htaccess.
Он у меня есть. Но толку от него нет.

DragSanWay
проходил мимо
Сообщения: 7
Зарегистрирован: 2015-06-10 15:28:09

Apache24 сквозная аутентификация с AD

Непрочитанное сообщение DragSanWay » 2015-07-10 13:59:31

Люди! нашел вариант решения своей проблемы, вот только как реализовать не знаю ...
В Win в cmd есть команда set при её вводе будет выброшено много всякой всячины в том числе параметр USERNAME.
Мне нужно значение этого параметра передать/вызвать в браузер и присвоить его значению $ENV{REMOTE_USER}
В перле я практически нуль поэтому пока сам не нашёл как это сделать.
Народ, подскажите как это можно сотворить?

DragSanWay
проходил мимо
Сообщения: 7
Зарегистрирован: 2015-06-10 15:28:09

Apache24 сквозная аутентификация с AD

Непрочитанное сообщение DragSanWay » 2015-07-14 14:22:21

кажется я окончательно погнул свои мозги ...
Апач24 не реагирует на .htaccess

AllowOverride устанавливал в All , AuthConfig
Изменения проводил в httpd.conf и в Includes/otrs.conf

в дирректории otrs/bin/cgi-bin лежит .htaccess
настройка первоначальная была под
AuthBasicProvider ldap

потом проверил AuthUserFile

В любом варианте при открытии сайта нет запроса на логин\пароль пользователя, если http://login:password@otrs/otrs/customer.pl идёт сообщение что сайт не требует аутентификации.

Не понимаю в чём может быть проблема ...

Pegasus
рядовой
Сообщения: 22
Зарегистрирован: 2012-04-15 10:07:00

Apache24 сквозная аутентификация с AD

Непрочитанное сообщение Pegasus » 2015-07-14 17:52:29

DragSanWay писал(а): Есть мысль, что Win7 по параметрам безопасности не выдаёт данные по пользователю (IE8).
Вот только не понятно где и какой параметр за это отвечает.
Это делается в политиках. Навскидку не вспомню где точно.
UPD http://kb.cyberoam.com/default.asp?id=2252 - посмотрите, должно работать.

DragSanWay
проходил мимо
Сообщения: 7
Зарегистрирован: 2015-06-10 15:28:09

Apache24 сквозная аутентификация с AD

Непрочитанное сообщение DragSanWay » 2015-07-15 10:21:20

к сожалению это пройденный вариант.
В IE вообще интересная вещь попалась.
по структуре в адресной строке браузера можно запросить\передать логин пользователя, пароль + IP адрес сервера , порт.
В IE8 данная структура по умолчанию отключена, браузер выдаст что адрес написан с ошибкой.
Вот что нашел:
Чтобы отменить использование новой методики в проводнике и браузере Internet Explorer, создайте в одном из
указанных ниже разделов системного реестра параметры iexplore.exe и explorer.exe типа DWORD со значением 0.

Для всех пользователей программы:
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_HTTP_USERNAME_PASSWORD_DISABLE

Только для текущего пользователя:
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_HTTP_USERNAME_PASSWORD_DISABLE

Проверка показала что это никак не влияет на работу IE. (может только мне так повезло :)))) )

Отправлено спустя 4 минуты 26 секунд:
Сейчас задача заставить работать .htaccess
без этого сервер не заполняет переменную окружения REMOTE_USER.
а мне она нужна ...

DragSanWay
проходил мимо
Сообщения: 7
Зарегистрирован: 2015-06-10 15:28:09

Apache24 сквозная аутентификация с AD

Непрочитанное сообщение DragSanWay » 2015-07-17 11:03:30

нытьём и катанием заставил работать переменную окружения
сделано, работает:
AuthType Basic
AuthName "Otrs"
AuthBasicProvider ldap
AuthLDAPURL "ldap://IP-Addr_Servera:389/DC=test,DC=com?sAMAccountName?sub?(objectclass=User)"
AuthLDAPBindDN "CN=login,CN=Users,DC=test,DC=com"
AuthLDAPBindPassword "Password"
Require valid-user
однако, при открытие страницы всё равно идёт запрос аутентификации "введите логин и пароль", а этого по идее не должно быть.

Отправлено спустя 1 минуту 14 секунд:
не спасает даже такой вариант:
login@otrs/otrs/customer.pl