Witam,

w necie jest 1000 skopiowanych tutoriali z php.net jak połączyć się z serwerem Kerberos itd. Ja chciał bym zapytać jak załadować tą bibliotekę do lokalnego PHP5 na Windows7? Na początek napiszę czego próbowałem:

1. PEAR::Auth()

Wszystko spoko, niestety wywalił się na : "Cannot use Kerberos V authentication, KADM5 extension not loaded!". (Załadowałem Auth.php oraz KADM5.php )

2. Rozszerzenie PECL kadm5

Sciągnąłem kadm5-0.2.3.tgz jednak nie wiem co z nim dalej robić... przeczytałem http://pl.php.net/manual/pl/install.pecl.pear.php gdzie piszą:

[PHP] pobierz, plaintext 
$ pecl install extname
 
This will download the source for extname, compile, and install
[PHP] pobierz, plaintext 

Niestety dostaję to:

[PHP] pobierz, plaintext 
WARNING: channel "pear.php.net" has updated its protocols, use "channel-update p
ear.php.net" to update
downloading kadm5-0.2.3.tgz ...
Starting to download kadm5-0.2.3.tgz (23,090 bytes)
........done: 23,090 bytes
13 source files, building
ERROR: The DSP kadm5.dsp does not exist.
[PHP] pobierz, plaintext 

pliku kadm5.dsp nigdzie nie ma, szukałem ale nie znalazłem.

Idąc dalej rozpakowałem ten kadm5-0.2.3.tgz jednak już żaden "ekspert" w licznych tutorialach nie wyjaśnił jak to ręcznie skompilować. A podpowiedzi żeby odkomentować bibliotekę w php.ini już mnie w ogóle dobijają... ;]

Czy istnieje w ogóle biblioteka DLL dla tego rozszerzenia!?

Proszę o poważne odpowiedzi, próbowałem wszystkiego co znalazłem w sieci, nie pisze tutaj o wszystkich moich kombinacjach ale proszę darować sobie sarkastyczne pytania

Liczę na pomoc, bo ja tez Wam pomagałem jeśli mogłem,

iwosz.


Nikt nie umie pomóc?

Ok, uproszczę problem... mam serwer IIS oraz Kerberos. W IIS skonfigurowana autentykacja windows. Mam tez aplikacje w PHP, logując się do aplikacji wykonywana jest autentykacja windows po Kerberosie i aplikacja wpuszcza lub nie usera. Tak to powinno przynajmniej wyglądać Teraz mam pytanie:

Jak PHP ma się "dowiedzieć" że autentykacja przebiegła pomyślnie?

kadm5-0.2.3.tgz to rozszerzenie typowo linuxowe.Nie ma jakichś binarek-lub zip?

Nie ma nic, dlatego próbuje coś rzeźbić, .tgz to jest też archiwum, i pecl powinien sobie z tym poradzić i skompilować to rozszerzenie. Przynajmniej z innymi rozszerzeniami tak działało. Swoją drogą PEARowy moduł Auth() też korzysta z tej biblioteki, a nie ma jej dołączonej więc też trzeba ją sobie "wyczarować" ;]

Ale tak jak napisałem kadm5 słyżu do administracji Kerberosem (dodawania udziałów ról itd) więc nie koniecznie jest on potrzebny do autentykacji. Przede wszystkim to serwer WWW (IIS) komunikuje się z Kerberosem i dokonuje autentykacji. Ja później tylko potrzebuję z PHP odpytać IIS/
Kerberos w przypadku gdy np. user łączy się z kompa z poza AD. Bo wtedy powinienem go ręcznie zalogować, czyli w PHP form z loginem i hasłem i to jakoś przesłać do IIS/Kerberos... tylko jak? ;]


Dzięki za zainteresowanie!

Pozdrawiam.

Jak nie ma nic:
https://www.secure-endpoints.com/heimdal/
Zainteresuj się może tym binarka z implementacją Kerbos-na stonie http://www.h5l.org/ pełna dokumentacja co i jak zrobić.

No ale to jest wersja serwera Kerberos, ja mam działający serwer Kerberos pod windowsem

Czyli podsumujmy: mamy serwer IIS, mamy serwer Kerberos i mamy aplikacje PHP. Jak poprzez aplikacje PHP możemy się zautentykować "ręcznie" na serwerze?

Tak tylko jak widzę to Ściągałeś pliki linuxowe, a tam masz czysto windowsowe pliki z pluginami nawet pod apache.Może jednak wartałoby się jednak tym zainteresować.Poczytaj może znajdziesz tam coś ciekawego dla siebie:)

A jaką masz bazę danych?Pytam bo można skonfiguraować,web.config aby zapisywało role automatycznie do bazy ,ale baza musi być MSSQL.

Jeśli chodzi o odczyt tych rół to odpowiednia configuracja web.config powinna rozwiązać problem-to plik(xml) konfiguracyjny iis'a-i zniego dokonywać potrzebnych odczytów.

Baza MySQL, plik xml IIS'a? Nie rozumiem, w pliku konfiguracyjnym IIS'a zapisywane są role Kerberos i autoryzowani userzy(loginy)? Chodzi mi o to że po automatycznej autentykacji w aplikacji muszę wiedzieć jaki user się zalogował, a przecież form logowania nie wyskoczył (bo user się zalogował auto) więc muszę odczytać kto się właśnie zalogował przez Kerberosa do AD, jak to zrobić?

A wracając do Twojej sugestii że to są pliki dla Linuxa, to powiedz mi jak mam zainstalować paczkę Auth z wykorzystaniem Kerberosa:
http://pear.php.net/manual/en/package.auth...orage.kadm5.php



PECL kadm5 extension? Spoko! -> http://pecl.php.net/package/kadm5 -> kadm5-0.2.3.tgz ups! (Ja tu nie widzę pliku .dll) Dlatego utknąłem i pisze na forum

Dodatkowo w opisie paczki kadm5 jest:

To ja nie wiem jak to się ma do tego:

Bo ja nie chcę tworzyć nowych ról, tylko sie zalogować na istniejące (w Auth nawet się hasła nie podaje!) ;]

Pozdr!

Tutaj jest przykładowy plik web.config dla PHP
http://learn.iis.net/page.aspx/557/transla...-iis-webconfig/

Dalsze twoje działania będą wymagały podstawowej wiedzy o IIS i strukturze pliku web.config.
Ułatwieniem odczytu takiego pliku z poziomu php jest "plugin-wtyczka" zend-config.

W pliku web config-można przeprowadzić cały system autoryzacji i uwierzytelnienia, ustawić connection string do bazy danych, zrobić urlrewiting , ustawić czas życia sesji, ustawić flagi na coockies itp. i wiele wiele innych rzeczy.

Tutaj masz wszystko o Kerbosie i konfiguracji na IIS:
http://www.adopenstatic.com/cs/blogs/ken/a.../10/19/512.aspx

Aha, czyli ten web.config to jest taki .htaccess ? Tylko nadal nie wiem jak mogę odczytać dane tego zalogowanego usera który połączył się z serwerem WWW. (PS: web.config jest tylko w IIS 7, w IIS 6 brak takich bajerów )

Dobra już wszystko rozkminiłem i działa!

UWAGA! Poniższe rozwiązanie działa przede wszystkim dla IE, przetestowałem też pod FF, pod pozostałymi przeglądarkami to może nie działać!

Moje środowisko
Serwer AD: Win 2003 Server
Server WWW: Win 2003 Server, IIS 6, PHP 5.3
Klient: IE 7/8, FF 3/5

Więc tak:

1. Konfiguracja serwera
- należy postawić AD na odrębnym serwerze(maszynie)
- należy postawić IIS na drugim serwerze (wbudowany Kerberos)
^- IIS powinien mieć ustawione: Directory Security -> Authentication and access control -> Authenticated Access -> Windows Integrated Authentication
^- dodatkowo powinna być wymuszana autoryzacja NTLM
- na serwerze WWW(IIS) zainstalować PHP z LDAPem (openLDAP)

2. Struktura sieci, przepływ danych
Schemat komunikacji:

- Serwer AD powinien być na innej maszynie niż IIS (tak jest zalecane)
- Maszyna klienta będącego w domenie autoryzuje się bezpośrednio na serwerze AD
- IIS odpytywany przez klienta komunikuje się z serwerem AD po Kerberosie aby potwierdzić autoryzację
- IIS w przypadku braku autoryzacji wyświetla błąd 401, gdy wszystko jest ok wyświetla treść strony

3. Proces autoryzacji
Tłumaczę:
- Klient logując się do Windowsa autoryzuje się w AD (bezpośrednia komunikacja z AD).
- Klient otwierając przeglądarkę wysyła do IIS poświadczenia, IIS sprawdza czy ten user ma dostęp do AD(czy jest już zautoryzowany), w PHP mamy info:

- IIS przekierowuje na stronę aplikacji, jeśli usera nie ma w domenie to przekierowuję na stronę logowania do aplikacji
- podczas logowania mamy 2 opcje:
1) user jest poza AD ale ma tam konto, wtedy sprawdzamy czy podany login i haslo są poprawne poprzez LDAP:

[PHP] pobierz, plaintext 
// autoryzacja poprzez openLDAP (php_ldap.dll)
$AD_login  = 'login';
$AD_pass   = 'password';
 
$ldapconn = ldap_connect('AD_serwer');
 
if( $ldapconn ) {
    // autoryzacja w domenie AD
    $authorized = ldap_bind($ldapconn, $AD_login, $AD_pass);
 
    if( !$authorized ) {
        return false;
    } else {
        return true; // zautoryzowany w AD!
    }
} else {
    echo "LDAP bind failed...";
}
[PHP] pobierz, plaintext 

2) user nie ma konta w AD więc loguje się na login aplikacyjny (z bazy podłączonej w aplikacji)
- user uzyskuje dostęp do aplikacji.

I tak to działa u mnie, może komuś się przyda aha, nie udało mi się skonfigurować tego pod Apache, ale dla Windowsa odpowiada za to moduł NTLM/mod_auth_sspi ale działa to TYLKO dla IE . W httpd.conf dodajemy coś takiego:


oraz coś takiego jest jeszcze: http://modntlm.sourceforge.net/

Powodzenia!

PS. dzięki dla Niktoś za zainteresowanie! leci "pomógł"