Windows Authentifizierung

robert · 10.02.2010, 16:22

Guten Tag,
Mein PHP-Applikation lauft auf ein IIS-Server (INTRANET) und ich sollte mich bei einem MSSQL Server mit intergrierten Windows Authentifizierung authentifizieren

Beim Googlen bin ich auf dieses Erweiterungen gestossen.

NTLM auth module for Apache/Unix
Kerberos Module for Apache

Leider habe ich Null-Ahnung von kompilieren. Deshalb kann ich nicht testen.

Ich denke das Prinzip ist, dass der IE ein HASH sendet zum Webserver, der diese weiterverwenden kann für die Authentifizierung.

Hat jemand von euch erfahrung damit gemacht?

mepeisen · 10.02.2010, 16:51

Eine Frage: Jeder User, der deine Webseite betritt, befindet sich in einem lokalen Intranet mit Active Directory und der MS-SQL-Server ist ebenfalls Teil des Active Directories. Deine Suche nach einer Lösung impliziert, dass sich die Berechtigungen auf die Datenbank aus den Benutzeraccounts ergeben. Ist das wirklich so gewollt?

Sollte es nicht vielleicht so sein, dass die Benutzeraccounts keinen Zugriff auf den DB-Server haben, stattdessen aber der Webserver? Das wäre ein gewaltiger Unterschied.

Das Grundprinzip ist soweit richtig, wie du es dargestellt hast, obgleich es durchaus etwas komplizierter ist als einfach nur einen Hash. Normalerweise musst du dich nicht im PHP-Script darum kümmern, da diese Aufgabe dann vom Apachen übernommen wird.

robert · 11.02.2010, 09:08

Ja, dieses Sicherheitskonzept ist mir vorgegeben.
MSSQL ist ein Teil des AD's.
Da der PHP-Interpreter auf IIS läuft, ist die Authentifizierung einfach.
Ich habe herausgefunden, dass wenn ich den folgenden Code ausführe, dass die IIS-Server mir Informationen von User und Auth. Hash zur Verfügung stellt.

PHP-Code:

  # Variante 1
if(empty($_SERVER['AUTH_USER']))
{
    header("WWW-Authenticate: Negotiate");
}
print_r($_SERVER);

Eine Wichtige Bemerkung hier ist, dass der folgender Code nicht den gleichen Effekt hat

PHP-Code:

  #Variante 2
// if(empty($_SERVER['AUTH_USER']))
{
    header("WWW-Authenticate: Negotiate");
}
print_r($_SERVER);

Bei der Variante 2 fordert ein Login-Dialog nach Authentifikation. Und auch wenn man nichts eingibt und abbricht, sind Informationen über den User trotzdem vorhanden.

Bei der ersten Variante erscheint kein Login-Dialog. Die Userinformationen sind trotzdem vorhanden.

Die Folgende Variablen sind bekannt

Code:

$_SERVER['HTTP_AUTHORIZATION'] => Negotiate YIINxxxxxxx.....
$_SERVER['AUTH_USER'] => Domain\UserName

Mein Frage ist jetzt, wie kann ich den HASH "HTTP_AUTHORIZATION" auf Gültigkeit überprüfen?

mepeisen · 11.02.2010, 09:52

Doing GSS/Negotiate SSO using Mozilla Firefox, MIT Kerberos and PHP - Moritz Bechler
Das erfordert allerding ein zusätzliches Modul: phpkrb5. In Google fand ich nur das hier: phpkrb5 - Summary [Savannah]
Scheinbar aber deutlich veraltet. Vielleicht kannst du den Autor mal ansprechen, inwieweit er eine aktuelle Variante des Moduls hat. People at Savannah: Loic Dachary Profile [Savannah]
Oder ob er bereit ist, es freizugeben, dass ein anderer Entwickler das Modul aktualisieren könnt.

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Thema bewerten
Thema bewerten:

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
Windows + Apache + PHP + Imagick	Chriz	Tutorials	23	19.09.2011 16:15
Problem mit Authentifizierung (Firefox-Problem?)	ans	PHP Tipps 2009	4	24.06.2009 22:11
MySQL Konsole und Umlaute unter Windows [LÖSUNG]	f4ckm5	Datenbanken	8	30.03.2009 22:10
[Erledigt] WAMP unter Windows 2000 Server oder Windows 2003 Server	Mecronomecon	Server, Hosting und Workstations	3	18.06.2008 09:15
Service Pack für Windows Vista doch schon fast fertig?		PHP Tipps 2007	0	03.08.2007 12:06
Sicherheits-Patches für Windows und Office		PHP Tipps 2007	0	03.08.2007 12:06
Windows Update	DER_Brain	Off-Topic Diskussionen	8	23.06.2007 14:56
Probleme mit IE7 und transparentem Hintergrund	oschmidt	HTML, Usability und Barrierefreiheit	15	04.05.2007 20:47
[Erledigt] Externes Programm per PHP auf Windows 2003 OpenSA ausführen		PHP-Fortgeschrittene	1	07.03.2006 12:12
Frage zu Windows Server 2003	b++	Off-Topic Diskussionen	1	03.03.2006 09:41
ASCII - Zeichen im Forum (Dos statt Windows)?!	Brease	Off-Topic Diskussionen	13	26.11.2005 13:46
[Erledigt] browsererkennung; wie kann man einen firefox von...		PHP Tipps 2005-2	17	25.07.2005 22:35
Festplatten-, Windows, PartitionMagic, SuSE-Linux - Problem	Quadaptor	Off-Topic Diskussionen	14	09.04.2005 19:01
Windows Install Shield Problem		Off-Topic Diskussionen	1	23.02.2005 09:53
ttf unter windows und linux		PHP Tipps 2004	0	19.10.2004 17:03

10.02.2010, 16:22
robert Benutzer Registriert seit: 25.09.2008 Beiträge: 61	Windows Authentifizierung Guten Tag, Mein PHP-Applikation lauft auf ein IIS-Server (INTRANET) und ich sollte mich bei einem MSSQL Server mit intergrierten Windows Authentifizierung authentifizieren Beim Googlen bin ich auf dieses Erweiterungen gestossen. NTLM auth module for Apache/Unix Kerberos Module for Apache Leider habe ich Null-Ahnung von kompilieren. Deshalb kann ich nicht testen. Ich denke das Prinzip ist, dass der IE ein HASH sendet zum Webserver, der diese weiterverwenden kann für die Authentifizierung. Hat jemand von euch erfahrung damit gemacht? __________________ Grüsse.... (das ist keine Signatur! Das schreib ich jedesmal )


Mister Ad PHP Code Flüsterer Registriert seit: 21.08.2005 Beiträge: 4682 PHP-Kenntnisse: Fortgeschritten

10.02.2010, 16:51
mepeisen Erfahrener Benutzer Registriert seit: 21.12.2004 Beiträge: 4.651 PHP-Kenntnisse: Fortgeschritten	Eine Frage: Jeder User, der deine Webseite betritt, befindet sich in einem lokalen Intranet mit Active Directory und der MS-SQL-Server ist ebenfalls Teil des Active Directories. Deine Suche nach einer Lösung impliziert, dass sich die Berechtigungen auf die Datenbank aus den Benutzeraccounts ergeben. Ist das wirklich so gewollt? Sollte es nicht vielleicht so sein, dass die Benutzeraccounts keinen Zugriff auf den DB-Server haben, stattdessen aber der Webserver? Das wäre ein gewaltiger Unterschied. Das Grundprinzip ist soweit richtig, wie du es dargestellt hast, obgleich es durchaus etwas komplizierter ist als einfach nur einen Hash. Normalerweise musst du dich nicht im PHP-Script darum kümmern, da diese Aufgabe dann vom Apachen übernommen wird. __________________ Entwickler aus Leidenschaft und ein Zahnrad in einem der größten Java-Projekte der Welt.

11.02.2010, 09:08
robert Benutzer Registriert seit: 25.09.2008 Beiträge: 61	Authentifizierungsdaten bekannt Ja, dieses Sicherheitskonzept ist mir vorgegeben. MSSQL ist ein Teil des AD's. Da der PHP-Interpreter auf IIS läuft, ist die Authentifizierung einfach. Ich habe herausgefunden, dass wenn ich den folgenden Code ausführe, dass die IIS-Server mir Informationen von User und Auth. Hash zur Verfügung stellt. PHP-Code: `# Variante 1 if(empty($_SERVER['AUTH_USER'])) { header("WWW-Authenticate: Negotiate"); } print_r($_SERVER);` Eine Wichtige Bemerkung hier ist, dass der folgender Code nicht den gleichen Effekt hat PHP-Code: `#Variante 2 // if(empty($_SERVER['AUTH_USER'])) { header("WWW-Authenticate: Negotiate"); } print_r($_SERVER);` Bei der Variante 2 fordert ein Login-Dialog nach Authentifikation. Und auch wenn man nichts eingibt und abbricht, sind Informationen über den User trotzdem vorhanden. Bei der ersten Variante erscheint kein Login-Dialog. Die Userinformationen sind trotzdem vorhanden. Die Folgende Variablen sind bekannt Code: $_SERVER['HTTP_AUTHORIZATION'] => Negotiate YIINxxxxxxx..... $_SERVER['AUTH_USER'] => Domain\UserName Mein Frage ist jetzt, wie kann ich den HASH "HTTP_AUTHORIZATION" auf Gültigkeit überprüfen? __________________ Grüsse.... (das ist keine Signatur! Das schreib ich jedesmal )

11.02.2010, 09:52
mepeisen Erfahrener Benutzer Registriert seit: 21.12.2004 Beiträge: 4.651 PHP-Kenntnisse: Fortgeschritten	Doing GSS/Negotiate SSO using Mozilla Firefox, MIT Kerberos and PHP - Moritz Bechler Das erfordert allerding ein zusätzliches Modul: phpkrb5. In Google fand ich nur das hier: phpkrb5 - Summary [Savannah] Scheinbar aber deutlich veraltet. Vielleicht kannst du den Autor mal ansprechen, inwieweit er eine aktuelle Variante des Moduls hat. People at Savannah: Loic Dachary Profile [Savannah] Oder ob er bereit ist, es freizugeben, dass ein anderer Entwickler das Modul aktualisieren könnt. __________________ Entwickler aus Leidenschaft und ein Zahnrad in einem der größten Java-Projekte der Welt.