Hallo, ik heb een vraag over Integrated authentication met NTLM of Kerberos. Het idee is al volgt: Ik ben bezig met intranet voor een universiteit. Het intranet gaat gebruikt worden voor het delen van resources/documenten en community building. We gaan waarschijnlijk Plone (een open source Python-based system) gebruiken.
Waar gaat de vraag over?
Ik wil niet dat gebruikers moeten inloggen om bij het intranet te kunnen of pagina's te kunnen editen (ik heb zelf 6 of 7 passwords, lijkt me meer dan genoeg.) Wat ik wil is dat gebruiker automatisch worden ingelogd, net zoals je automatisch inlogd op Exchange als je Outlook gebruikt, maw Integrated Authentication. De automatisch logon is gebaseerd op the login informatie van de Windows logon.
Wat is het probleem?
Nou... het werkt niet!
Wat heb ik al?
- Testserver met Red hat ES3.
- Apache server wat voor de Plone server komt te hangen.
- mod_ntlm2, mod_auth_kerb-5
- een zeer eenvoudige website, die NTLM authenticatie afdwingt.
- Ik gebruik Firefox 1.0.7 and IE6 (moeten beide NTLM/kerberos auth ondersteunen)
Het idee is dat Apache de gebruiker dwingt om zich te authentificeren. De browser vangt dit op en authentificeert de gebruiker automatisch op basis van de login information van je normale Windows logon. De browser stuurt the bestaande login credentials naar Apache, Apache stuurt het door naar de PDC en de PDC bevestigd (al of niet) de authentiteit van de gebruiker. De gebruiker merkt dus helemaals niets, maar is wel ingelogd
Ik werk op basis van dit:
http://diaryproducts.net/...le_sign_on_windows_domain
De bedoeling is om eerst NTLM of Kerberos authenticatie aan het werk the krijgen op een simpele website. Later kan de link met Plone worden gelegd.
Ik heb apache met mod_ntlm2 en het volgende in httpd.conf:
<Location /secret-ntlm >
AuthType NTLM
NTLMAuth on
NTLMAuthoritative on
NTLMDomain COMPNET
NTLMServer abc-ad-s01
NTLMBackup abc-ad-s02
Require valid-user
</Location>
Guess what.... het werkt niet! ('tuurlijk niet
)
Het volgende staat in the error_log:
[Sun Apr 09 17:21:19 2006] [error] [client 172.16.108.134] creating new ntlm_connection 136746440 4449
[Sun Apr 09 17:21:19 2006] [notice] [client 172.16.108.134] got auth_line "TlRMTVNTUAABA ..... AJMIAAAAD0=="
[Sun Apr 09 17:21:19 2006] [notice] [client 172.16.108.134] got header with host "", domain ""
[Sun Apr 09 17:21:19 2006] [error] [client 172.16.108.134] received msg1 136746440 4449
[Sun Apr 09 17:21:19 2006] [notice] [client 172.16.108.134] send WWW-Authenticate "NTLM TlRMTVNTUAAC ..... BNAEkAVABTgBFAFQA"
Vraag 1: Heeft iemand enig idee wat ik verkeerd doe? Of heeft iemand ervaring met hetzelfde?
In de tussentijd ben ik alvast verder gegaan met studeren en proberen. Het blijkt dat NTLM authenticatie niet speciaal veilig is, en Kerberos is een betere optie. Het gaat natuurlijk over een intern netwerk, maar goed, dit is een universiteit dus er lopen hier honderden potentiele hackertjes rond (ik weet nog wat ik deed toen ik studeerde
)
Dus eventueel is NTLM helemaal geen goede optie en moet ik kerberos gaan gebruiken.
Vraag 2: Heeft iemand ervaring met het installeren van kerberos en het gebruik ervan voor Integrated authentication? Alvast dank voor alle hulp!
(mijn excuses als ik niet direkt reageer op reacties, ik zit in een andere tijzone helaas)
Waar gaat de vraag over?
Ik wil niet dat gebruikers moeten inloggen om bij het intranet te kunnen of pagina's te kunnen editen (ik heb zelf 6 of 7 passwords, lijkt me meer dan genoeg.) Wat ik wil is dat gebruiker automatisch worden ingelogd, net zoals je automatisch inlogd op Exchange als je Outlook gebruikt, maw Integrated Authentication. De automatisch logon is gebaseerd op the login informatie van de Windows logon.
Wat is het probleem?
Nou... het werkt niet!
Wat heb ik al?
- Testserver met Red hat ES3.
- Apache server wat voor de Plone server komt te hangen.
- mod_ntlm2, mod_auth_kerb-5
- een zeer eenvoudige website, die NTLM authenticatie afdwingt.
- Ik gebruik Firefox 1.0.7 and IE6 (moeten beide NTLM/kerberos auth ondersteunen)
Het idee is dat Apache de gebruiker dwingt om zich te authentificeren. De browser vangt dit op en authentificeert de gebruiker automatisch op basis van de login information van je normale Windows logon. De browser stuurt the bestaande login credentials naar Apache, Apache stuurt het door naar de PDC en de PDC bevestigd (al of niet) de authentiteit van de gebruiker. De gebruiker merkt dus helemaals niets, maar is wel ingelogd
Ik werk op basis van dit:
http://diaryproducts.net/...le_sign_on_windows_domain
De bedoeling is om eerst NTLM of Kerberos authenticatie aan het werk the krijgen op een simpele website. Later kan de link met Plone worden gelegd.
Ik heb apache met mod_ntlm2 en het volgende in httpd.conf:
<Location /secret-ntlm >
AuthType NTLM
NTLMAuth on
NTLMAuthoritative on
NTLMDomain COMPNET
NTLMServer abc-ad-s01
NTLMBackup abc-ad-s02
Require valid-user
</Location>
Guess what.... het werkt niet! ('tuurlijk niet
)Het volgende staat in the error_log:
[Sun Apr 09 17:21:19 2006] [error] [client 172.16.108.134] creating new ntlm_connection 136746440 4449
[Sun Apr 09 17:21:19 2006] [notice] [client 172.16.108.134] got auth_line "TlRMTVNTUAABA ..... AJMIAAAAD0=="
[Sun Apr 09 17:21:19 2006] [notice] [client 172.16.108.134] got header with host "", domain ""
[Sun Apr 09 17:21:19 2006] [error] [client 172.16.108.134] received msg1 136746440 4449
[Sun Apr 09 17:21:19 2006] [notice] [client 172.16.108.134] send WWW-Authenticate "NTLM TlRMTVNTUAAC ..... BNAEkAVABTgBFAFQA"
Vraag 1: Heeft iemand enig idee wat ik verkeerd doe? Of heeft iemand ervaring met hetzelfde?
In de tussentijd ben ik alvast verder gegaan met studeren en proberen. Het blijkt dat NTLM authenticatie niet speciaal veilig is, en Kerberos is een betere optie. Het gaat natuurlijk over een intern netwerk, maar goed, dit is een universiteit dus er lopen hier honderden potentiele hackertjes rond (ik weet nog wat ik deed toen ik studeerde
)Dus eventueel is NTLM helemaal geen goede optie en moet ik kerberos gaan gebruiken.
Vraag 2: Heeft iemand ervaring met het installeren van kerberos en het gebruik ervan voor Integrated authentication? Alvast dank voor alle hulp!
(mijn excuses als ik niet direkt reageer op reacties, ik zit in een andere tijzone helaas)
:strip_exif()/u/24090/hekje.gif?f=community)