這個問題其實很難跟你說可以跟不可以。
要做到也不是沒有方法。只是這樣就失去了原本使用ad的意義了。
而且我相信依你的想法,你因該還是很想用一個人家做好的套件安裝就可以用了。
想法不錯。但真的有這樣的東西存在嗎?
畢竟這種東西,需要同時對windows跟linux有一定的了解程度。才有可能開發的出來。
而且這樣的東西,也容易破壞原本的安全性跟保護性。
我是不確定有沒有這樣的東西,因為一般不會很刻意去找這種會砸我的腳的人。
由其是有資安管理需求的人員。更不可能去找這樣的東西。
看後面有沒有人會回答你的問題了。
ps:linux並不能做網頁喔。就跟windows一樣。它並不能做網頁的。問題要很小心。
。然後,你要的做法。我給你一個提示,可以往java方面去找看看。因為java是可以跨作業系統。
Client有login AD時,Web server是可以透過AUTH required讓Browser送Kerberos的ticket上來,然後憑Kerberos ticket去識別user在AD上的身份的(關鍵字叫mod_auth_kerb),樓主參考參考吧....
Kerberos作SSO的話提供service的server不須要同步AD上的帳密,只要能解得出來Kerberos的ticket就行了....
我稍微查了一下,這部分看來比LADP機制更深入一些,我之後再研究看看,感謝,請問有使用centos7嘛,目前是看這篇,但遇到了些問題
http://blog.ilc.edu.tw/blog/blog/25793/trackbacks/468054
這跟用哪個OS架沒關係(上面的例子是架在BSD上的),只要OS有提供Kerberos相關工具,接下來把Web server設成要求認證(不過auth_type應該只能設成negotiate,沒辦法直接要求client走Kerberos----因為http是個很古老的協定),Browser會試著以其支援的最佳方式(目前就是Kerberos)對Web server作auth,Web server自然就知道user是誰了....
其實...應該各語言都有吧。
python的是python-ldap。
我在公司內的網站都是透過這個套件,先認證過完再去更新使用者資料。
不過建議在公司內用就好,公司外不建議使用。如果你時即時認證不存資料庫內的話還好,存在資料庫被破、伺服器被入侵,整個公司的帳密都可以打包走。
iThome鐵人賽
看影片追技術