Apache 2.4 und SSO via NTLM -außerhalb der Domäne aussetzen?

Irgendwelche Probleme mit XAMPP für Windows? Dann ist hier genau der richtige Ort um nachzufragen.

Apache 2.4 und SSO via NTLM -außerhalb der Domäne aussetzen?

Postby oneil » 08. July 2015 10:17

Hey zusammen,

ich weiß nicht ob ich hier richtig bin aber ich versuche es mal.

Ich habe auf meinem Apache SSO aktviert, funktioniert auch soweit super nun zu dem unschönen teil.
Externe Dienstleister auserhalb unserer Domäne, werden noch vor der Loginmaske der Webseite "genötigt" sich (in der Domäne) zu authentifizieren.

Kann man das irgendwie anpassen, das der SSO überspringt wenn der Client nicht in der Domäne ist?

hier der Code der Code der SSO "auslöst".
Welche schraube muss ich drehen? :-)
Code: Select all
<Directory "D:\xampp\htdocs\OSTicket">
Options None
AllowOverride All
Order allow,deny
Allow from all
#AuthName "SSPI Protected Place"
AuthType SSPI
SSPIAuth On
SSPIAuthoritative On
SSPIOfferBasic On
SSPIOmitDomain On
Require valid-user
</Directory>
oneil
 
Posts: 7
Joined: 05. June 2015 08:29
Operating System: Server 2012

Re: Apache 2.4 und SSO via NTLM -außerhalb der Domäne ausset

Postby glitzi85 » 08. July 2015 11:44

Schon von der technischen Seite wie SSO funktioniert kann das nicht gehen.

Wie genau kommen die externen denn auf den Server drauf? Läuft da ein Proxy davor? Portweiterleitung?
Prinzipiell kannst du die Requirements-Gruppieren (http://httpd.apache.org/docs/2.4/mod/mo ... _core.html) z.B. valid-user falls IP aus LAN-Range.

Falls das ganze über einen Proxy kommt (der intern dann ja auch aus dem Netz kommt) kannst du auch einen zweiten vHost aufmachen (mit nem alternativen DNS-Name) und den Proxy darauf leiten. In dem vHost kannst du dann Auth abschalten.
User avatar
glitzi85
 
Posts: 1920
Joined: 05. March 2004 23:26
Location: Dahoim

Re: Apache 2.4 und SSO via NTLM -außerhalb der Domäne ausset

Postby oneil » 08. July 2015 12:14

gut ich versuche es mal so gut ich kann zu erläutern ;-)

die authentifizierung läuft über das ticketsystem das angesteuert wird, da ist die prämisse das die hälfte der user sich mit dem ad account
authet und die andere mit einem im system selbst angelegten account arbeitet.

das system hängt nicht im internet, daher alles netzintern bzw via vpn (also auch im netz ;-) )

und nun bitte nochmal für nicht so erfahrene admins :P

Danke vorab :-)
oneil
 
Posts: 7
Joined: 05. June 2015 08:29
Operating System: Server 2012

Re: Apache 2.4 und SSO via NTLM -außerhalb der Domäne ausset

Postby glitzi85 » 08. July 2015 21:20

OK, verstanden. Allerdings ist das die schlechteste aller Varianten :-(

Die einzige Möglichkeit besteht noch falls deine VPN-Clients einen eigenen IP-Range (static oder dhcp) haben, dann kannst du darauf filtern. Sonst hast du keine Möglichkeit zu unterscheiden ob der Account in der Domäne ist oder nicht. Denn dein Server sendet den Request an den Client, der zeigt dann entweder ein Passwort-Feld an (kein AD-Mitglied) oder macht SSO (AD-Mitglied). Du hast in dem Moment keine Möglichkeit was zu steuern.

Dann gäbe es noch die Möglichkeit zwei verschiedene URLs zu verwenden. z.B. ticket.intranet für die internen user, exticket.intranet für die externen User. Gerade bei einem Ticketsystem dürftest du da aber in Probleme laufen, da die URLs in den Ticketmails ja üblicherweise immer gleich sind und die Links dann entweder für externe oder interne nicht mehr gut funktionieren.

Edit: BTW, wieso haben externe Dienstleister einen VPN-Account aber keinen AD-Account? Leg doch die User einfach im AD an und gut ist.
User avatar
glitzi85
 
Posts: 1920
Joined: 05. March 2004 23:26
Location: Dahoim

Re: Apache 2.4 und SSO via NTLM -außerhalb der Domäne ausset

Postby oneil » 09. July 2015 07:06

sagen wir es ist etwas kompliziert beim kunden :D

grundsätzlich haben sie ein ad account um in unser netz zu kommen, jedoch haben wir (leider) 2 domains (frag lieber nicht), die 2te domain beinhaltet alles was sap betrifft und die dienstleister haben dann ein problem :P

ja ma schaun wie ich das mache ... danke schonmal für den ausflug
oneil
 
Posts: 7
Joined: 05. June 2015 08:29
Operating System: Server 2012


Return to XAMPP für Windows

Who is online

Users browsing this forum: No registered users and 12 guests