Как аутентифицировать TWiki против Windows Active Directory

Я записал часть дополнительной документации для этой функции. Руководство нацелено на TWiki 4.2, но процесс установки остается тем же.

Kerberos SSO работает в Firefox, просто убедиться добавить Ваше имя сервера к network.negotiate-auth.trusted-uris в about:config

Отображение имени является самой твердой частью. Плагин TWiki LDAP имеет regex, который отображает имена для входа в систему Active Directory к именам пользователей TWiki. Это имело проблемы капитализации с нашим firstname.lastname форматом, но изменение regex произвело имена пользователей TWiki, которые мы хотели.

Вы имеете в виду единую точку входа или просто аутентификацию?

Аутентификация, вероятно, довольно легка. Просто укажите на twiki на OU, что Вы удерживаете своих пользователей, если он похож на любую схему аутентификации LDAP там. Единая точка входа намного более сложна, и я понятия не имею.

Вот ПРАКТИЧЕСКОЕ РУКОВОДСТВО, которое могло бы помочь: http://twiki.org/cgi-bin/view/Support/LdapAuthenticationHowTo

Ответ Matt Simmons является хорошей начальной точкой.

Я добавляю некоторые детали, поскольку я использую TWiki с LDAP (чистый LDAP не AD).

В Вас апачский conf, где Вы обычно имеете:

AuthUserFile /var/www/twiki42/data/.htpasswd
...

замените его этим:

AuthType Basic
AuthBasicProvider ldap
AuthzLDAPAuthoritative off
AuthName "login with your AD/domain credentials ..."
AuthLDAPURL ldap://your.ad.example.org/ou=people,dc=example,dc=org
require valid-user

(Необходимо установить собственные значения в AuthLDAPURL, конечно.) Необходимо включить надлежащий подлинный модуль для ldap. На debian основывал системное использование:

a2enmod authnz_ldap

удостоверьтесь, чтобы Вы имели

$TWiki::cfg{PasswordManager} = 'TWiki::Users::HtPasswdUser';

в Вашем LocalSite.cfg другой путь состоит в том, чтобы использовать администраторский интерфейс для установки этого. Возможно, Вы также хотите отключить регистрацию:

$TWiki::cfg{Register}{EnableNewUserRegistration} = 0;

Просто спросите, есть ли у Вас какие-либо вопросы.

Это - один способ сделать это (возможно, самое легкое). Другой путь состоит в том, чтобы использовать ldap плагин и вынудить Ваших пользователей регистрировать нового пользователя на основе ldap данных (это не было тем, что я хотел).

Насколько я понимаю это, Вам будет нужен веб-браузер, который поддерживает Kerberos для SSO. IE, вероятно, встроят функциональность для связи с, по крайней мере, AD серверы.

Там также используемый, чтобы быть поддержкой Kerberos в Firefox, но я просто проверил и например, тот из Конюшни Debian, кажется, не связывает его в.

Один метод выполнения единой точки входа на против AD должен использовать NTLM. Можно сделать NTLM по HTTP для предоставления пользователям автоматические логины, но это не действительно просто.

Я столкнулся с этой статьей с 2006 и этим несколько более резким веб-сайтом с 2005, но эта третья и последняя ссылка кажется намного более полезной. Надо надеяться, один из них выручит Вас!