Прозрачность авторизации из домена Windows AD на linux сервер

0

0

Доброго времени суток. Настраиваю доступ к веб репрозитарию SVN.
SVN установлен на сервере: операционная система Debian 4 Eth, apache 2.2.3, subversion 1.4.2, модули authnz_ldap, dav_svn, ldap. Сеть представляет собой ряд клиентских машин с ОС Windows XP, под управлением контроллера домена Windows 2003 SP2.
Конфиг виртуального хоста (фрагмент с авторизацией лдап):

<Location "/repos">
DAV svn
SVNPath /путь/к/репозитарию/
AuthBasicProvider ldap
AuthType Basic
AuthzLDAPAuthoritative off
AuthName "my server"
AuthLDAPURL "ldap://192.168.1.1:389/DC=example,DC=com?sAMAccountName?sub?(objectClass=*)" NONE
AuthLDAPBindDN "CN=User,OU=groupeuser,DC=example,DC=com
AuthLDAPBindPassword password
require valid-user
AuthzSVNAccessFile /путь/к/файлу
</Location>

Все работает, ограничения прописанные в AccessFile действуют, но! все равно выходит окошко логин/пароль, и пользователю необходимо повторно (первый раз он это делает при включении компьютера и входе в домен) вводить свой логин/пароль.
Кто-нибудь может подсказать - есть ли способ сделать авторизацию с клиентских машин полностью прозрачной?

Ссылка

←	Squid: url_rewriter «вылетает по расписанию»

Перенос юзеров

→

SSO делается kerberos-ом. Правда не знаю, умеет ли это svn.

DonkeyHot ★★★★★
(27.06.08 15:43:57 MSD)

Ответ на: комментарий от DonkeyHot 27.06.08 15:43:57 MSD

А поподробней? Необходимо полноценно настроить керберос, с вводом линукс сервера в домен, генерацией кейтабов, и всю авторизацию повесить на него?

mormon
(27.06.08 16:03:31 MSD) автор топика

Ответ на: комментарий от mormon 27.06.08 16:03:31 MSD

можно mod_ntlm

anonymous
(27.06.08 16:30:42 MSD)

Ссылка

Ответ на: комментарий от mormon 27.06.08 16:03:31 MSD

Ставишь mod_auth_kerb (или как-то так), идёшь в гугль с вопросом про apache + kerberos + AD, находишь документ с подробной пошаговой инструкцией, делаешь. На работе есть ссылка, но я там не скоро окажусь, и я её так же нашёл, т.ч. удачи.

DonkeyHot ★★★★★
(28.06.08 21:03:15 MSD)

Ответ на: комментарий от DonkeyHot 28.06.08 21:03:15 MSD

http://www.opennet.ru/base/net/subversion_ldap.txt.html

Вот судя по всему этот документ. Я от него в свое время отказался именно по той же причине, несмотря на четко прописанную директиву mod_auth_kerb KrbMethodNegotiate On все равно не получается прозрачная авторизация.

mormon
(30.06.08 13:58:02 MSD) автор топика

Ответ на: комментарий от mormon 30.06.08 13:58:02 MSD

mod_ntlm Вам уже советовали. Пароль запрашиваться не будет, а имя пользователя нужно будет вытянуть из CGI enviroment. Правда когда я решал подобную задачу для HTMLDB, наши админы не смогли настроить, мне пришлось писать сервлет на java и потом редиректить.

anonymous
(01.07.08 16:09:48 MSD)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Squid: url_rewriter «вылетает по расписанию»

Admin

Перенос юзеров

→

Похожие темы