Authentification Kerberos en PHP

Disons simplement supposer que je ne sais pas beaucoup sur Kerberos juste l'essentiel.

J'ai...

  • Debian Linux 2.6 Serveur
    • Apache 2.2
      • mod_auth_kerb/5.3
      • PHP/5.2
  • un (de travail) Domaine Kerberos
  • Client Windows

Comment puis-je utiliser cette information dans un script PHP de sorte que je n'ai pas besoin de vous connecter au site si le visiteur dispose d'un ticket kerberos comme ça? Je ne veux pas d'Apache pour gérer l'authentification. J'ai besoin de savoir qui de l'utilisateur accède au site via PHP.

Est-ce possible? Si oui: Comment?

Ce que j'ai trouvé jusqu'à présent: je "activer" le domaine dans Firefox.

Cependant c'est à ce sujet...

source d'informationauteur BlaM

  1. 3

    Je ne suis pas sûr si cela va aider, mais il semble que Apache va envoyer PHP le nom d'utilisateur de l'information avec le modauthkerb paquet si vous utilisez le KrbSaveCredentials paramètre. Vous devriez obtenir deux variables globales en php:

     $_SERVER['REMOTE_USER']
 $_SERVER['KRB5CCNAME']

    http://archives.postgresql.org/pgsql-admin/2004-08/msg00144.php dirait qu'ils ont obtenu ce travail.

    De cette façon, si vous pouvez voir ce que fait l'utilisateur, il n'est vraiment pas une exigence que php ne fait l'authentification.

  2. 1

    mod_auth_kerb sera gérer pour vous d'authentification réel. Après cela, il va mettre en REMOTE_USER et KRB5CCNAME variables d'environnement. Notez qu'il y a quelques bémols:

    • mod_auth_kerb peut faire la traduction entre le principal Kerberos et le nom d'utilisateur local si Krb5AuthToLocal option est activée.
    • Si Krb5AuthToLocal est activé, lorsque l'authentification réussit, mod_auth_kerb appellera bibliothèque Kerberos pour effectuer la traduction d'un authentifié nom pour un nom local comme principal Kerberos n'est pas toujours le même que le réel de l'utilisateur dans le système d'exploitation (vous pouvez mapper les directeurs d'école pour les noms d'utilisateur).
    • Lors de MIT Kerberos est en cours d'utilisation, cette cartographie est réalisée avec l'aide de auth_to_local des règles dans /etc/krb5.conf, voir krb5.conf page de manuel pour plus de détails.
    • mod_auth_kerb a un bug entraînant nom local ne devrait pas avoir de nom plus long que le capital lui-même. C'est généralement vrai pour les directions à partir d'un domaine par défaut, car ils présentés sans royaume de la partie, c'est à dire "l'utilisateur" au lieu de "utilisateur@DOMAINE'. Toutefois, si vous avez plusieurs de confiance des royaumes, les utilisateurs de non-défaut royaumes seront affichés sous la forme "[email protected]" et puis mod_auth_kerb va paniquer. Ce bug devrait être résolu dans Fedora 18+ et RHEL6.5, vous ne savez pas à propos de Debian depuis mod_auth_kerb en amont est un peu mort.
    • Par conséquent, votre REMOTE_USER variable contiendra principal Kerberos ou nom d'utilisateur local, en fonction de la façon dont mod_auth_kerb a été configuré. Si votre application s'appuie sur le fait que REMOTE_USER valeur doit être un vrai système existant de l'utilisateur, vous devez vous assurer d'Krb5AuthToLocal option est activée et que les utilisateurs sont visibles dans le système (par le biais de winbind ou sssd).

    Pour votre cas, je vous recommande de regarder l'excellent comment par Tom McLaughlin: http://blogs.freebsdish.org/tmclaugh/2010/07/15/mod_auth_kerb-ad-and-ldap-authorization/