Mit Hilfe des Apache2 Moduls mod_auth_sspi lässt sich relativ einfach eins Single Sign On mit Seamless Authentication umsetzen. Seamless Authentication meint damit, dass man weder Benutzername noch Passwort eingeben muss. Es wird vorausgesetzt, dass der Benutzer an seiner Workstation angemeldet ist. Der Benutzername des angemeldeten Benutzers wird dabei an den Server übertragen.

Zur Installation muss von http://mod-auth-sspi.sourceforge.net/ das passende Package geladen und installiert werden.
Folgender Code bindet mod_auth_sspi in den Apache ein:

LoadModule sspi_auth_module modules/mod_auth_sspi.so
<location test-mod_auth_sspi="">
Options Indexes FollowSymLinks
AllowOverride None
Order allow,deny
Allow from all</location>

AuthName "SSPI"
AuthType SSPI
SSPIAuth on
SSPIAuthoritative On
SSPIOfferBasic On
require valid-user

Mit Hilfe von SSPIAuthoritative Off kann man außerdem die Überprüfung an andere Module (mod_auth_ldap) weitergeben, falls der Benutzer per SSPI nicht authentifiziert werden könnte. Dies ist sinnvoll, wenn man nicht nur Windows- sondern auch Linux-Clients einsetzt.


0 Comments

Leave a Reply