forum.opennet.ru - "Гибрид SSPI и Basic авторизации в Apache 2.2" (5)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"Гибрид SSPI и Basic авторизации в Apache 2.2"

Форум WEB технологии (Apache, http-серверы)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Гибрид SSPI и Basic авторизации в Apache 2.2"	+/–
Сообщение от Truman (ok) on 28-Сен-11, 14:44
Приветствую! Возникла проблема - нужно чтобы доступ к сайту имели некоторые пользователи домена (пусть будет DOMAIN\Admin) и некоторые пользователи "извне" (пусть будет test) В файле .htaccess делал нечто подобное: AuthType SSPI SSPIAuth On SSPIOfferSSPI On SSPIAuthoritative Off SSPIOfferBasic Off SSPIBasicPreferred Off AuthType Basic AuthName "Input Login / Password" AuthBasicAuthoritative Off AuthUserFile C:/apache/localhost/cgi-bin/.passwd require user DOMAIN\Admin test перепробовал все возможные сочетания параметров (менял Off на On и наоборот), изменял порядок загрузки модулей в httpd.conf: LoadModule auth_basic_module modules/mod_auth_basic.so LoadModule sspi_auth_module modules/mod_auth_sspi.so Но работает все равно только что-то одно - или SSPI, или Basic, а одновременно не получается. У кого-нибудь работает реально такой гибрид авторизации? Не обязательно именно с этими модулями, может быть с другими...
Ответить \| Правка \| Cообщить модератору

Оглавление

Гибрид SSPI и Basic авторизации в Apache 2.2, midori, 21:37 , 28-Сен-11, (1)

Гибрид SSPI и Basic авторизации в Apache 2.2, midori, 22:14 , 28-Сен-11, (2)

Гибрид SSPI и Basic авторизации в Apache 2.2, Truman, 12:26 , 29-Сен-11, (3)

Гибрид SSPI и Basic авторизации в Apache 2.2, midori, 23:33 , 29-Сен-11, (4)

Гибрид SSPI и Basic авторизации в Apache 2.2, Truman, 09:15 , 30-Сен-11, (5)

Сообщения по теме [Сортировка по времени | RSS]

1. "Гибрид SSPI и Basic авторизации в Apache 2.2" +/–

Сообщение от midori (ok) on 28-Сен-11, 21:37

не меняйте значения опций наугад - это дурная привычка, почитайте лучше что-нибудь полезное по теме! шутка))) конечно же можно поиграть и в рулетку "on or off" ) ну, а теперь к теме, замечу, что материала на тему sspi модуля просто НЕТ (он конечно есть, но это больше к теме философии)
Для того, чтобы работала базовая аутентификация в дополнение к SSPI, вам придется создать листинг для различных директории, используя
<Location /directory1>
  AuthType Basic
  blah-blah
</Location>

и
<Location /directory2>
  AuthType SSPI
  blah-blah
</Location>

если это вас не устраивает, то можно использовать host-based авторизацию, где можно использовать два типа авторизации на одну директорию с опцией "Satisfy Any"

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Гибрид SSPI и Basic авторизации в Apache 2.2" +/–

Сообщение от midori (ok) on 28-Сен-11, 22:14

вот так в одной конторе у меня работает авторизация к svn:::::
LoadModule sspi_auth_module modules/mod_auth_sspi.so
LoadModule auth_basic_module modules/mod_auth_basic.so

--------------------------------------
<Location /svn/>
    DAV svn
    SVNListParentPath on
    SVNParentPath "G:/svn/reposs"
    AuthName "SVN Repository VI"
    # NT Domain Logins
    AuthType SSPI
    SSPIAuth On
    SSPIAuthoritative Off
    SSPIDomain LEGAL
    SSPIOfferBasic On

    # Htpasswd Logins
    AuthType Basic
    AuthBasicAuthoritative Off
    AuthUserFile "conf/.htpasswd"
    Require valid-user
    Order deny,allow
    Allow from all
        #Allow from 213.5.xx.xxx
        #Allow from 172.16.8.
        #Satisfy Any
    AuthzSVNAccessFile "conf/svnaccess.conf"
</Location>

-------------------------------------
conf/svnaccess.conf
[groups]
admin = kamutoherovato, admin
dev = ribka, dablya, vot
clients = vasya, yanevasya
guests = demo, project
# Default access rule for ALL repositories
# admin can r/w all
[/]
@admin = rw
# Project A
[project-a:/]
@dev = rw
@clients = r
@guests = r
# Project B
[project-b:/]
@clients = rw
someid = r
# Project C (beta)
[project-c:/]
@clients = r
someid = r
так что - курите, сэр бамбук!

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Гибрид SSPI и Basic авторизации в Apache 2.2" +/–

Сообщение от Truman (ok) on 29-Сен-11, 12:26

Спасибо! Вариант с разграничениям прав по каталогам с разграничением через IP - работает! По крайней мере, сейчас это у меня единственный рабочий вариант... Хотя конечно не самый удобный (держать два одинаковых каталога)
Покопал в сторону Satisfy Any - вот это было бы отлично... Если бы я смог получить имя в домене! Авторизуюсь я нормально, но когда захожу из-под домена - у меня нету имени пользователя, а оно мне нужно...
Вот и очередной вопрос... Могу ли я в .htaccess получить имя пользователя домена, не требуя регистрации?
SetEnv DOMAIN_USER <Вот как здесь получить имя пользователя из домена>
Есть вариант как это сделать?

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Гибрид SSPI и Basic авторизации в Apache 2.2" +/–

Сообщение от midori (ok) on 29-Сен-11, 23:33

может я не совсем понял, но!? Вы хотите знать/использовать username подключившегося пользователя устанавливая переменную окружения сервера DOMAIN_USER? для каких целей, если ДА?
> Вот и очередной вопрос... Могу ли я в .htaccess получить имя пользователя
> домена, не требуя регистрации?
про регистрацию подробней!

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "Гибрид SSPI и Basic авторизации в Apache 2.2" +/–

Сообщение от Truman (ok) on 30-Сен-11, 09:15

> может я не совсем понял, но!? Вы хотите знать/использовать username подключившегося пользователя
> устанавливая переменную окружения сервера DOMAIN_USER? для каких целей, если ДА?
>> Вот и очередной вопрос... Могу ли я в .htaccess получить имя пользователя
>> домена, не требуя регистрации?
> про регистрацию подробней!
Подумал - если мы пришли с чужих IP - нужна Basic авторизация
А если со своих - то мы из своего домена... Но тогда нужно имя пользователя. Чтобы использовать его в дальнейшем, в скриптах...
Впрочем я думаю сейчас это небезопасно... буду разрабатывать вариант с разными каталогами, тем более что он работает...

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Гибрид SSPI и Basic авторизации в Apache 2.2"	+/–
Сообщение от midori (ok) on 28-Сен-11, 21:37
не меняйте значения опций наугад - это дурная привычка, почитайте лучше что-нибудь полезное по теме! шутка))) конечно же можно поиграть и в рулетку "on or off" ) ну, а теперь к теме, замечу, что материала на тему sspi модуля просто НЕТ (он конечно есть, но это больше к теме философии) Для того, чтобы работала базовая аутентификация в дополнение к SSPI, вам придется создать листинг для различных директории, используя <Location /directory1> AuthType Basic blah-blah </Location> и <Location /directory2> AuthType SSPI blah-blah </Location> если это вас не устраивает, то можно использовать host-based авторизацию, где можно использовать два типа авторизации на одну директорию с опцией "Satisfy Any"
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	2. "Гибрид SSPI и Basic авторизации в Apache 2.2"	+/–
	Сообщение от midori (ok) on 28-Сен-11, 22:14
	вот так в одной конторе у меня работает авторизация к svn::::: LoadModule sspi_auth_module modules/mod_auth_sspi.so LoadModule auth_basic_module modules/mod_auth_basic.so -------------------------------------- <Location /svn/> DAV svn SVNListParentPath on SVNParentPath "G:/svn/reposs" AuthName "SVN Repository VI" # NT Domain Logins AuthType SSPI SSPIAuth On SSPIAuthoritative Off SSPIDomain LEGAL SSPIOfferBasic On # Htpasswd Logins AuthType Basic AuthBasicAuthoritative Off AuthUserFile "conf/.htpasswd" Require valid-user Order deny,allow Allow from all #Allow from 213.5.xx.xxx #Allow from 172.16.8. #Satisfy Any AuthzSVNAccessFile "conf/svnaccess.conf" </Location> ------------------------------------- conf/svnaccess.conf [groups] admin = kamutoherovato, admin dev = ribka, dablya, vot clients = vasya, yanevasya guests = demo, project # Default access rule for ALL repositories # admin can r/w all [/] @admin = rw # Project A [project-a:/] @dev = rw @clients = r @guests = r # Project B [project-b:/] @clients = rw someid = r # Project C (beta) [project-c:/] @clients = r someid = r так что - курите, сэр бамбук!
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору


	3. "Гибрид SSPI и Basic авторизации в Apache 2.2"	+/–
	Сообщение от Truman (ok) on 29-Сен-11, 12:26
	Спасибо! Вариант с разграничениям прав по каталогам с разграничением через IP - работает! По крайней мере, сейчас это у меня единственный рабочий вариант... Хотя конечно не самый удобный (держать два одинаковых каталога) Покопал в сторону Satisfy Any - вот это было бы отлично... Если бы я смог получить имя в домене! Авторизуюсь я нормально, но когда захожу из-под домена - у меня нету имени пользователя, а оно мне нужно... Вот и очередной вопрос... Могу ли я в .htaccess получить имя пользователя домена, не требуя регистрации? SetEnv DOMAIN_USER <Вот как здесь получить имя пользователя из домена> Есть вариант как это сделать?
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору


	4. "Гибрид SSPI и Basic авторизации в Apache 2.2"	+/–
	Сообщение от midori (ok) on 29-Сен-11, 23:33
	может я не совсем понял, но!? Вы хотите знать/использовать username подключившегося пользователя устанавливая переменную окружения сервера DOMAIN_USER? для каких целей, если ДА? > Вот и очередной вопрос... Могу ли я в .htaccess получить имя пользователя > домена, не требуя регистрации? про регистрацию подробней!
	Ответить \| Правка \| ^ к родителю #3 \| Наверх \| Cообщить модератору


	5. "Гибрид SSPI и Basic авторизации в Apache 2.2"	+/–
	Сообщение от Truman (ok) on 30-Сен-11, 09:15
	> может я не совсем понял, но!? Вы хотите знать/использовать username подключившегося пользователя > устанавливая переменную окружения сервера DOMAIN_USER? для каких целей, если ДА? >> Вот и очередной вопрос... Могу ли я в .htaccess получить имя пользователя >> домена, не требуя регистрации? > про регистрацию подробней! Подумал - если мы пришли с чужих IP - нужна Basic авторизация А если со своих - то мы из своего домена... Но тогда нужно имя пользователя. Чтобы использовать его в дальнейшем, в скриптах... Впрочем я думаю сейчас это небезопасно... буду разрабатывать вариант с разными каталогами, тем более что он работает...
	Ответить \| Правка \| ^ к родителю #4 \| Наверх \| Cообщить модератору