Mit Hilfe des Apache2 Moduls mod_auth_sspi lässt sich relativ einfach eins Single Sign On mit Seamless Authentication umsetzen. Seamless Authentication meint damit, dass man weder Benutzername noch Passwort eingeben muss. Es wird vorausgesetzt, dass der Benutzer an seiner Workstation angemeldet ist. Der Benutzername des angemeldeten Benutzers wird dabei an den Server übertragen.
Zur Installation muss von http://mod-auth-sspi.sourceforge.net/ das passende Package geladen und installiert werden.
Folgender Code bindet mod_auth_sspi in den Apache ein:
LoadModule sspi_auth_module modules/mod_auth_sspi.so <location test-mod_auth_sspi=""> Options Indexes FollowSymLinks AllowOverride None Order allow,deny Allow from all</location> AuthName "SSPI" AuthType SSPI SSPIAuth on SSPIAuthoritative On SSPIOfferBasic On require valid-user
Mit Hilfe von SSPIAuthoritative Off kann man außerdem die Überprüfung an andere Module (mod_auth_ldap) weitergeben, falls der Benutzer per SSPI nicht authentifiziert werden könnte. Dies ist sinnvoll, wenn man nicht nur Windows- sondern auch Linux-Clients einsetzt.
0 Comments