Auslesen des NT-Useraccounts mit Apache 2.X unter Windows

Gerade in Firmen ist es manchmal praktischer, wenn die Benutzer sich an den Webapplikationen nicht extra anmelden müssen. Da dies allerdings für setzen von Berechtigungen in der Webapplikation meißtens unumgänglich ist, kommt die Idee des SSO (Single Sign On) genau richtig.
Man meldet sich also nur noch Morgens mit dem Rechner direkt an der Domäne an und brauch sich dann bei keiner Software mehr zu verifizieren. Das mag zwar nicht unbedingt mit jedem Browser funktionieren, allerdings funktioniert es mit den in Firmennetzwerken meist verwendeten „Internet Explorer“. Wichtig ist in diesem Beispiel, dass der Webserver, der die Daten liefert, sowie die Clients die die Daten abfragen alle an der Domäne angemeldet sind.
Microsofts IIS besitzt von Haus aus das Authentifizierungsverfahren NTLM„, beim Apache muss allerdings erst nachgeholfen werden.

Auf Linux Server Systemen, braucht man das Zusatzmodul NTLM2, auf Windows Servern braucht man das Modul mod_auth_sspi. Die Konfiguration ist denkbar einfach. Im Fall vom SSPI Modul müsst ihr einfach die Moduldatei in das Modulverzeichnis eures Apache Webservers verschieben und in der httpd.conf folgende Zeilen einfügen:

</pre>
LoadModule sspi_auth_module modules/mod_auth_sspi.so

<Directory '---Das Verzeichnis, das ihr per SSO schützen wollt">
 AllowOverride None
 Options None
 Order allow,deny
 Allow from all

 AuthName "SSPI"
 AuthType SSPI
 SSPIAuth On
 SSPIAuthoritative On
 SSPIDomain Eure Domain
 SSPIOmitDomain Off
 SSPIOfferBasic Off

 require valid-user
</Directory>

Das Modul solltet ihr möglichst als letztes laden…

Bevor ihr nun die Server Variablen auslesen könnt, müsst ihr beim jeweiligen Client den Webserver als Vertrauenswürdige Seite im Internet Explorer eintragen, sonst kann es zu Problemen kommen!

Nach einem Apache Restart, könnt ihr nun ausprobieren ob in dem angegebenen Verzeichnis, die entsprechenden Daten ankommen.

Mit dem Befehl:


echo $_SERVER['REMOTE_USER'];

Könnt ihr euch Domäne und NT Account des angemeldeten Benutzers ausgeben lassen.

Ähnliche Artikel:

3 Gedanken zu „Auslesen des NT-Useraccounts mit Apache 2.X unter Windows

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.