ubuntuusers.de

Hallo,

und zwar habe ich eine Microsoft Netzwerk mit Domäne und Benutzer. Mit Microsoft Edge kann man sich von einem Microsoft-Netzwerk in ein Web-Intranet einloggen.

Dafür habe ich folgende Konfiguration in meinem htaccess:

<FilesMatch "sso-test.php">
    AuthType Kerberos
    AuthName "Web-Intranet"
    KrbMethodNegotiate on
    KrbMethodK5Passwd on
    # Allow shorter username (without realm):
    KrbAuthRealms xxx.xxx.xx
    KrbServiceName HTTP
    Krb5Keytab /etc/apache2/xxx.keytab
    # Disable the verification tickets against local keytab to
    # prevent KDC spoofing attacks
    # It should be used only for testing purposes
    KrbVerifyKDC off
    Order deny,allow
    Require valid-user
    RequestHeader set REMOTE_USER %{REMOTE_USER}s
</FilesMatch>

Hier ist es der Fall, dass sich die Benutzer mit dem Benutzernamen und dem Passwort anmelden. Das funktioniert auch. Ich möchte jedoch, dass es sich um ein beliebiges Feld handelt, z. die E-Mail-Adresse und das Passwort.

Hat jemand eine Quelle für mich, was ich ändern muss?

Hallo,

und zwar habe ich eine Microsoft Netzwerk mit Domäne und Benutzer. Mit Microsoft Edge kann man sich von einem Microsoft-Netzwerk in ein Web-Intranet einloggen.

Dafür habe ich folgende Konfiguration in meinem htaccess:

<FilesMatch "sso-test.php">
    AuthType Kerberos
    AuthName "Web-Intranet"
    KrbMethodNegotiate on
    KrbMethodK5Passwd on
    # Allow shorter username (without realm):
    KrbAuthRealms xxx.xxx.xx
    KrbServiceName HTTP

    Krb5Keytab /etc/apache2/xxx.keytab

    # Disable the verification tickets against local keytab to
    # prevent KDC spoofing attacks
    # It should be used only for testing purposes
    KrbVerifyKDC off
    Order deny,allow
    Require valid-user
    RequestHeader set REMOTE_USER %{REMOTE_USER}s
</FilesMatch>

Hier ist es der Fall, dass sich die Benutzer mit dem Benutzernamen und dem Passwort anmelden. Das funktioniert auch. Ich möchte jedoch, dass es sich um ein beliebiges Feld handelt, z. die E-Mail-Adresse und das Passwort.

Hat jemand eine Quelle für mich, was ich ändern muss?

Ich bin mir noch nicht sicher, ob ich richtig verstehe, was du erreichen willst oder wie dein Setup aussieht. Zu Beginn stelle ich den Systemaufbau dar, wie ich ihn verstanden habe. Vielleicht gibt's hier schon erste Abweichungen.

Systemaufbau:

• Deine Clients befinden sich in einer Active Directory-Domäne (abgeleitet von Microsoft Netzwerk mit Domäne).

• Es gibt eine Website, die auf einem Apache-Webserver gehostet wird.

• Die Benutzerauthentifizierung für die Website soll nicht durch die Applikation selbst erfolgen, sondern den Webserver.

• Die Benutzerauthentifizierung verwendet Kerberos zur Anbindung an das bestehende Active Directory.

Was ich mich frage: An welcher Stelle willst du die Anmeldeinformation geändert haben? Active Directory, und damit indirekt auch Kerberos, braucht einen Benutzernamen. Je nach Neigung kann dieser unterschiedlich eingegeben werden (vereinfacht dargestellt: benutzer = domäne\benutzer = benutzer@domäne). Eine Emailadresse als solches ist jedoch nicht unmittelbar zulässig, wenn sich diese nicht rein zufällig mit der Kombination aus Benutzername und Domäne deckt.