Аутентификация Apache2 NTLM без запрошенного полу Основного подлинного типа
Использование проверки подлинности NTLM не гарантирует входа в систему без учетных данных. Если у вас есть действительные учетные данные Windows, которые может распознать сервер, вы не получите запроса на ввод пароля.
Если у пользователя нет действительных учетных данных для сквозного доступа NTLM, ему будет предложено их предоставить. Невозможно вернуться к «базовой» аутентификации.
К сожалению, невозможно определить, предоставил ли пользователь учетные данные или они были переданы системой.
Возможно, вы зададите новый вопрос, описывающий, что вы хотите, чтобы ваши пользователи испытывали (например, разные сайты для внутренних и внешних пользователей), и кто-то может помочь другим способом.
На данный момент я решил эту проблему, переключив NTLM на аутентификацию Kerberos. Все, что подготовлено для winbind, работает непосредственно под Kerberos, потому что я ранее настроил kerberos для winbind с коммуникацией с сервером AD. Поскольку Kerberos открыт, разработчики спрогнозировали другую подаутентификацию на конечной точке пользователя. Очень полезен флаг в модуле apache2.2 kerberos:
KrbMethodNegotiate on
KrbMethodK5Passwd off
Это вызывает то, что я хочу. Браузер получает фрейм krb с атрибутом «Не отображать учетные данные пользователя», тогда клиент просто этого не делает. Но если да (несовместимость?), Модуль сервера apache должен обнаружить это и отозвать аутентификацию.
При использовании NTLM от Microsoft это невозможно, потому что протокол испорчен. Первый кадр NTLM после веб-кода возврата 201 не имеет возможности для добавления атрибута "don" Затем я могу отфильтровать этот кадр после всплывающего окна или знака ключа сеанса ОС. Это приводит к тому, что браузер всегда отображает всплывающее окно, когда ключ сеанса ОС недоступен.
В конце концов, это еще один шанс. Пользователю требуется некоторое время для написания учетных данных или принятия, когда учетные данные хранятся в браузере. Я могу подсчитать время между отправкой фрейма аутентификации в браузер и получением фрейма от клиента. Когда время слишком велико, я могу отозвать. К сожалению, это может привести к ложной деаутентификации на загруженных компьютерах или сетях.
Я попробую оба метода в будущем :) Будет забавно, если все будет сделано с использованием модуля apache winbind auth. Тогда весь конфиг можно инкапсулировать под apache, как и для Kerberos auth.
Спасибо всем за интерес, исследования и помощь :)
Затем я могу отфильтровать этот кадр после всплывающего окна или подписи ключа сеанса ОС. Это приводит к тому, что браузер всегда отображает всплывающее окно, когда ключ сеанса ОС недоступен.В конце концов, это еще один шанс. Пользователю требуется некоторое время для написания учетных данных или принятия, когда учетные данные хранятся в браузере. Я могу подсчитать время между отправкой фрейма аутентификации в браузер и получением фрейма от клиента. Когда время слишком велико, я могу отозвать. К сожалению, это может привести к ложной деаутентификации на загруженных компьютерах или сетях.
Я попробую оба метода в будущем :) Будет забавно, если все будет сделано с использованием модуля apache winbind auth. Тогда весь конфиг можно инкапсулировать под apache, как и для Kerberos auth.
Спасибо всем за интерес, исследования и помощь :)
В конце концов есть еще один шанс. Пользователю требуется некоторое время для написания учетных данных или принятия, когда учетные данные хранятся в браузере. Я могу подсчитать время между отправкой фрейма аутентификации в браузер и получением фрейма от клиента. Когда время слишком велико, я могу отозвать. К сожалению, это может привести к ложной деаутентификации на загруженных компьютерах или сетях.
Я попробую оба метода в будущем :) Будет забавно, если все будет сделано с использованием модуля apache winbind auth. Тогда весь конфиг можно инкапсулировать под apache, как и для Kerberos auth.
Спасибо всем за интерес, исследования и помощь :)
В конце концов есть еще один шанс. Пользователю требуется некоторое время для написания учетных данных или принятия, когда учетные данные хранятся в браузере. Я могу подсчитать время между отправкой фрейма аутентификации в браузер и получением фрейма от клиента. Когда время слишком велико, я могу отозвать. К сожалению, это может привести к ложной деаутентификации на загруженных компьютерах или сетях.
Я попробую оба метода в будущем :) Будет забавно, если все будет сделано с использованием модуля apache winbind auth. Тогда весь конфиг можно инкапсулировать под apache, как и для Kerberos auth.
Спасибо всем за интерес, исследования и помощь :)
К сожалению, это может привести к ложной деаутентификации на загруженных компьютерах или сетях.Я попробую оба метода в будущем :) Будет забавно, если все будет сделано с использованием модуля apache winbind auth. Тогда весь конфиг можно инкапсулировать под apache, как и для Kerberos auth.
Спасибо всем за интерес, исследования и помощь :)
К сожалению, это может привести к ложной деаутентификации на загруженных компьютерах или сетях.Я попробую оба метода в будущем :) Будет забавно, если все будет сделано с использованием модуля apache winbind auth. Тогда весь конфиг можно инкапсулировать под apache, как и для Kerberos auth.
Спасибо всем за интерес, исследования и помощь :)