国产av日韩一区二区三区精品,成人性爱视频在线观看,国产,欧美,日韩,一区,www.成色av久久成人,2222eeee成人天堂

Ich versuche, SSO auf einigen Intranetseiten unseres Unternehmens mithilfe von FreeIPA/Kerberos zu implementieren. Es gibt jedoch nur sehr wenige Informationen zu diesem Thema.

In meinem Testnetzwerk laufen drei Maschinen:

1. FreeIPA v4.9.8 Server auf Centos 8 Stream
2. Webserver auf Debian 11 (Apache v2.4.53, PHP v7.4.28)
3. Xubuntu 22.04-Client mit Kinit und Firefox

Kinit, Unix-Login und Apache Kerberos Auth funktionieren. Der Firefox-Browser auf dem Client-System kann sich ohne Passwort bei FreeIPA WebConfig anmelden (mithilfe des Kerberos-Tickets). Ich m?chte diese Funktionalit?t nun auf unsere Intranetseite verschieben. Bisher basierten die Anmeldungen auf diesen Seiten auf herk?mmlichen LDAP-Anmeldungen. Mit einer leichten Anpassung des Anmeldeskripts k?nnen sich Benutzer jetzt beim neuen FreeIPA-Server anmelden. Allerdings ben?tigt er weiterhin ein Passwort, doch dank des Kerberos-Tickets ist das Passwort eigentlich nicht mehr erforderlich.

Die Frage ist, wie sieht eine passwortlose Anmeldung aus?

Funktioneller Ausschnitt des Anmeldeskripts:

<?php
$username = $_SERVER['PHP_AUTH_USER'];
$password = 'password';

$ldap_rdn  = 'uid='.$username.',cn=users,cn=accounts,dc=exampletest,dc=de';
$ldap_server = ldap_connect('ldap://ipa.exampletest.de:389');

ldap_set_option($ldap_server, LDAP_OPT_PROTOCOL_VERSION, 3);
ldap_set_option($ldap_server, LDAP_OPT_REFERRALS, 0);

if ($ldap_server) {
  $ldap_bind = @ldap_bind($ldap_server, $ldap_rdn, $password);
  if ($ldap_bind) {
    $search = array("uid","givenname","sn","mail","uidnumber","gidnumber");
    $result = ldap_search($ldap_server, $ldap_rdn, "mail=$username*", $search);
    $info = ldap_get_entries($ldap_server, $result);

    print_r($info);
  }
}
?>

Jetzt habe ich zwei Gedanken:

1. Ich k?nnte ldap_sasl_bind() anstelle von ldap_bind() verwenden, aber diese Funktion ist auf php.net nicht dokumentiert (https://www.php.net/manual/en/function.ldap-sasl-bind.php). Wenn jemand wei?, wie man diese Funktion nutzt, w?re ich dankbar.
2. Ich würde mich auch freuen, wenn ich ldap_search() irgendwie ohne Passwort ausführen k?nnte, um Benutzerinformationen (vollst?ndiger Name, E-Mail usw.) zu erhalten.

Vielen Dank im Voraus.

Herausgeber:

Sowohl die Webserver-VM als auch die Client-VM werden über ?ipa-client-install“ initialisiert. Darüber hinaus hat der Webserver den Apache-Dienst registriert (ipa service-add HTTP/ebook.exampletest.de).

Die Apache-Konfiguration spiegelt dies auch wider:

<Directory /var/www/ebook/>
        AuthType                GSSAPI
        AuthName                "eBook Login"
        GssapiCredStore         keytab:/etc/apache2/http.keytab
        GssapiAllowedMech       krb5
        GssapiBasicAuthMech     krb5
        GssapiImpersonate       On
        GssapiDelegCcacheDir    /run/apache2/clientcaches
        GssapiLocalName         On
        
        # for production set to on:
        GssapiSSLonly           Off
        GssapiNegotiateOnce     Off
        
        GssapiUseSessions       On
        Session                 On
        SessionCookieName       gssapi_session path=/private;httponly;secure;
        Require                 valid-user
    </Directory>

Ausgabe: <?php print_r($_SERVER) ?>(abgefangen)

[GSS_MECH] => Negotiate/krb5
[GSS_NAME] => test@EXAMPLETEST.DE
[REMOTE_USER] => test
[AUTH_TYPE] => Negotiate
[PHP_AUTH_USER] => test