Форум русскоязычного сообщества Ubuntu

Пожалуйста, войдите или зарегистрируйтесь.

Считаете, что Ubuntu недостаточно дружелюбна к новичкам?
Помогите создать новое Руководство для новичков!

« предыдущая тема следующая тема »
Страницы: [1]   Вниз

Автор Тема: Apache + AD = прозрачная авторизация  (Прочитано 4512 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн Чистый

  • Автор темы
  • Почётный модератор
  • Старожил
  • *
  • Сообщений: 3473
  • nix - вот оно счастье...
    • Просмотр профиля
Apache + AD = прозрачная авторизация
« : 15 Августа 2014, 11:03:26 »
Добрый, есть сервер на нем Apache, так же есть сервер под WinSrv 2012 на которой крутится АD, необходимо настроить прозрачную авторизацию пользователя на внутренем web ресурсе, что сделано:
1. ввел сервер в AD
2. На Apache настроил VirtualHost:
Код: [Выделить]
<VirtualHost *:80>
  ServerName webproject.com
  ServerAdmin admin@webproject.com
  ErrorLog /var/log/httpd/webproject.error
  CustomLog /var/log/httpd/webproject.custom combined
  DocumentRoot /home/apache/webproject
  <Directory "/home/apache/webproject">
AllowOverride None
AuthName "WebProject Kerberos Authentication"
AuthType Kerberos
Krb5Keytab /etc/httpd/httpd.keytab
KrbAuthRealms TGM.LOC
KrbMethodNegotiate On
KrbSaveCredentials Off
KrbMethodK5Passwd On
KrbVerifyKdc OFF
Require valid-user
KrbServiceName Any
Order allow,deny
Allow from all
  </Directory>
</VirtualHost>

При такой настройке виртуального хоста и соответствующей настройке браузера, авторизация проходит и все работает как надо, но возникла необходимость ограничить доступ к проекту, дав права доступа только конкретной группе пользователей, но вот как это организовать не могу понять, группа в AD заведена, настройки хоста привел к виду:
Код: [Выделить]
<VirtualHost *:80>
  ServerName  webproject.com
  ServerAdmin admin@webproject.com
  ErrorLog /var/log/httpd/webproject.error
  CustomLog /var/log/httpd/webproject.custom combined
  DocumentRoot /home/apache/webproject
  <Directory "/home/apache/webproject">
AllowOverride None
AuthName "webproject Kerberos Authentication"
AuthType Kerberos
Krb5Keytab /etc/httpd/httpd.keytab
KrbAuthRealms TGM.LOC
KrbMethodNegotiate On
KrbSaveCredentials Off
KrbMethodK5Passwd On
KrbVerifyKdc OFF
        AuthLDAPBindDN "CN=wbreader,OU=System Account,DC=tgm,DC=loc"
        AuthLDAPBindPassword p@$$w0Rd
        AuthName "Please Login"
        AuthLDAPURL "ldap://dc1.tgm.loc:389/DC=tgm,DC=loc?userPrincipalName?sub?(|(objectClass=user)(objectClass=group))"
        require ldap-group CN=webproject,OU=Groups,DC=tgm,DC=loc
KrbServiceName Any
Order allow,deny
Allow from all
  </Directory>
</VirtualHost>

А вот при такой настройке вываливается 401, т.е. авторизация не проходит, при этом apache никаких ошибок кроме 401 в логах не пишет. модули для apache стоят. Где не прав ?
Тестовый репозиторий kdeNeur ppa:devcode/kdeneur
各々が死ぬことをどのように決定する

Оффлайн SnakeGod

  • Новичок
  • *
  • Сообщений: 13
  • -Ubuntu 7.04 Server-
    • Просмотр профиля
Re: Apache + AD = прозрачная авторизация
« Ответ #1 : 05 Мая 2015, 17:12:55 »
Я сделал в htaccess
AuthLDAPURL "ldap://dc1.tgm.loc:389/OU=Users,DC=tmg,DC=loc?sAMAccountName?sub?(objectClass=*)" NONE
AuthLDAPBindDN "CN=apache,CN=Users,DC=tgm,DC=loc"
AuthLDAPBindDN "apache@tgm.loc"
AuthLDAPBindPassword "Password"
Require valid-user
Require ldap-group cn=Group_name,ou=Groups,dc=tgm,dc=local
...Когда я подниму мечь мой сверкающий, и рука моя примит суд, то отмщу врагам моим, и ненавидящим меня воздам!
Страницы: [1]   Вверх
« предыдущая тема следующая тема »
 

Страница сгенерирована за 0.016 секунд. Запросов: 22.

© 2012 Ubuntu-ru — Русскоязычное сообщество Ubuntu Linux.
© 2012 Canonical Ltd. Ubuntu и Canonical являются зарегистрированными торговыми знаками Canonical Ltd.