我想知道是否可以配置 Apache 以针对 ActiveDirectory 进行身份验证,以便用户使用单点登录。我知道 Internet Explorer 可以使用它,它被称为 Windows 身份验证。
答案1
IE 的“Windows 身份验证”是 NTLM —— 至少是旧版本。(我认为当前的“Windows 身份验证”确实支持协商)。对于 NTLMv2,您需要 mod_ntlm 或 mod_auth_ntlm_winbind。我认为 IE 和 Windows 的更高版本也可以通过协商执行 GSSAPI,这可以使用 mod_auth_kerb 来实现。GSSAPI 的优势在于它可以在所有主流浏览器和平台上工作。
简短的回答-这是可能的。
答案2
您可以使用 authnz 来完成这一任务。
http://httpd.apache.org/docs/2.2/mod/mod_authnz_ldap.html
您需要为 Apache 创建一个非特权帐户,以便连接到 AD 执行身份验证。可以执行诸如根据组成员身份有条件地允许人员访问等操作。此外,您应该能够将 URL 添加到受信任的站点,并让 IE 透明地传递凭据,这样就不需要用户交互即可登录。