为Apache2/Linux 上运行的 PHP Web 应用程序启用集成 Windows 身份验证的最佳方法是什么?网络中有一个 Windows 域控制器应该用于身份验证。
我找到了这些 apache 模块:
但是这些模块似乎非常过时(上次更新时间为 2007/2008)。有没有更好、更先进的方法来做到这一点?
在我的站点中,我有一个不允许匿名访问的文件夹。它设置为使用集成 Windows 身份验证,因为它在 AD 域中。登录在 Firefox、Chrome 甚至 Safari 中都可以正常工作,但不能在 IE8 中正常工作。有没有人遇到过这个?我似乎找不到其他有类似问题的人,当然,除了在所有浏览器中登录失败的地方。
我正在尝试从桌面连接到 SQL Server 2012(在不同的服务器上)并收到以下错误:
连接超时已过期。在登录后阶段超时时间已过。连接可能在等待服务器完成登录过程并响应时超时;或者它可能在尝试创建多个活动连接时超时。尝试连接到此服务器所花费的持续时间是 - [Pre-Login] 初始化 = 190;握手=4;【登录】初始化=0;认证=102;[登录后]完成=14002;(微软 SQL 服务器)
客户端是 SQL Server Management Studio 2012。服务器上的防火墙已关闭。我可以telnet 到端口 1433。并且从服务器上的 Studio 连接本身工作正常。台式机和服务器在同一网段;使用 Windows 身份验证。
Windows Server 2008R2 和 SQL Server 都是从头开始构建的。
令我困惑的是登录后阶段。我有一种感觉,我找错了地方(即网络连接);但不知道正确的地方是什么......
我为我的组织开发了几个使用集成身份验证的内部站点。最终,我们希望使用加入域的计算机的用户可以从外部访问这些站点。这些站点在内部网络上的域计算机上按预期工作。当我将笔记本电脑带回家并尝试访问这些网站时,问题就出现了。
IIS 只为这两个站点启用了集成身份验证。当我使用 IE8 浏览网站时,我收到一个用户名/密码提示,要求提供域凭据。我可以把它们放进去,它会起作用,但目标是使用缓存的令牌进行集成身份验证。
接下来,我推断 IE 不会响应集成的身份验证请求(NTLM 是正确的术语吗?)除非该站点受信任。我尝试将该站点添加到受信任站点,但出现与之前相同的行为。然后我将该站点添加到本地 Intranet 站点,这就是事情变得奇怪的地方。我从 IE 得到一个通用错误页面,没有错误代码或任何东西。
只是为了好玩,我加载了 Firefox(我之前设置为使用集成身份验证)并将这个新站点添加到network.automatic-ntlm-auth.trusted-uris。令我惊讶的是,我能够毫无问题地加载页面并准确地看到了我的期望(包括验证集成身份验证是否有效)。
此刻我的思绪有点混乱,因为我真的不确定从这里往哪里去。我希望你们中的一些人能够提供一些见解。
2010 年 5 月 11 日更新 我按照下面的建议使用了 Fiddler,发现 Firefox 和 IE 处理页面请求的方式存在一些差异。当我测试 Internet Explorer 时,它发出一个请求,遇到 401.2(服务器配置错误)并死机。发生这种情况时没有安全日志条目。Firefox 最初遇到同样的错误,但随后发送另一个请求并且身份验证成功。
请记住,最初的测试都是从网络外部进行的,我在内部完成时查看了 IE8 的成功身份验证,它在内部和外部的行为似乎与 Firefox 相同。初始请求以 401.2 满足,然后发送另一个请求并以 401.1(挑战?)满足,然后是 200(成功)。
所以问题似乎是,当从网络外部访问“内部网”站点时,IE8 遇到 401.2,然后在它应该(通过其他浏览器的衡量)继续进行身份验证过程时死亡。
有人可以验证我描述的 Fiddler 活动吗?
如何将 PHP Web 应用程序连接到 Active Directory?LDAP 是唯一的方法吗?
到目前为止我有一些参考 /sf/ask/70262601/
将新 SPN 添加到 Kerberos 域时,您可以选择将 SPN 映射到用户。通常,我通过集成 Windows 身份验证加入域,这会为该服务创建一个新的计算机帐户,但是现在,我想尝试使用没有 IWA 的 Kerberos。
我相信我对 Kerberos 如何对计算机主机的客户端进行身份验证有一个透彻的了解(对于我正在尝试做的事情来说已经足够了) - 但是将 SPN 映射到域用户究竟做了什么?
编辑:我不是在问 SPN 通常是如何工作的。我特别询问将 SPN 映射到域用户的详细信息。
回答:
任何进一步的信息将不胜感激。
active-directory kerberos service spn integrated-authentication