不讓Apache在auth negotiation沒有可用方式時回www auth negotiation reject....

apache www authenticate

cmwang 2017-02-16 10:13:35 ‧ 5218 瀏覽

分享至

有邦友知道怎麼讓Apache在auth negotiation沒有可用方式時,不要回www auth negotiate reject,只回401和Error Document的URL嗎,鵝要幫user的網站配合AD做SSO,Client沒login AD時照說沒有Kerberos ticket可給,所以client端只支援NTLM....

正常狀況下server可以把browser redirect到傳統的login網頁,可是為何有時Client會發起spnego negotiation,server端拒絕後browser會fallback到basic auth,導致user會看到輸入帳密的dialog....

鵝試過只回401和Error Document的URL時browser的表現是符合user的須求的,問題是怎麼讓Apache在遇到client傳回Negotuate/NTLM時跳過reject這段,有邦友可以指點鵝一下嗎....

看更多先前的討論...收起先前的討論...

weiclin iT邦高手 4 級 ‧ 2017-02-16 13:48:49 檢舉

抓 mod_auth_kerb 的原始碼來修改

zyman2008 iT邦大師 6 級 ‧ 2017-02-16 15:37:57 檢舉

不知道這篇有沒有幫助.
https://www.jeffgeerling.com/blogs/jeff-geerling/apache-kerberos-authentication

cmwang iT邦大師 1 級 ‧ 2017-02-16 16:33:10 檢舉

謝了,source code鵝看過也改過,但是還是不得要領,而上面的URL鵝也試過了,Browser一樣會收到auth negotiation reject,然後fallback到basic auth....

cmwang iT邦大師 1 級 ‧ 2017-02-18 15:28:12 檢舉

沒有可用方式時回www auth negotiation reject看來是mod_auth_kerb2的accept_sec_context.c中的send_reject做的,accept_sec_context.c中只有兩個地方會呼叫send_reject,鵝直接把它改成exit(0)不知會發生啥事啊....

PS:改完也試完了,結果還是一樣.....

登入發表討論

直播研討會

{{ item.channelVendor }} {{ item.webinarstarted }} |

直播中

1 個回答

Ray

iT邦大神 1 級 ‧ 2017-02-16 11:53:44

(這題這麼難, 我怎知要如何解啊?.....)

有沒有試過直接關掉 basic auth 的模組?
https://httpd.apache.org/docs/2.4/mod/mod_auth_basic.html

如果 Apache 關掉 basic auth 還不行的話, 那就要查 Client 端為何一直要用 basic 了?

回應 5
分享
檢舉

看更多先前的回應...收起先前的回應...

cmwang iT邦大師 1 級 ‧ 2017-02-16 12:01:26 檢舉

謝了,不過fallback是client端的行為(應該說http auth是個古老的協定,server端沒辦法明確定義只吃Kerberos),只能丟Negotiate給client,client有login AD時會先試Kerberos,不行的話再試Negotiate/NTLM,而在client端的認知Negotiate就包括了basic auth,問題就出在這