iT邦幫忙

0

linux整合windows AD 網域帳號&網頁登入

如何使用linux架一個入口網頁,帳密來源是windows ad並且會同步,這有現成的開源套件可以安裝嗎?
想說這種情況對內或對外網頁應該都很方便很常會出現使用的狀況,可能有開源套件之類的可以安裝。

runan5678 iT邦新手 2 級 ‧ 2018-11-20 16:11:05 檢舉
reverse proxy + ldap 協定存取AD帳號密碼 這樣有符合需求 ?
1
浩瀚星空
iT邦高手 1 級 ‧ 2018-11-20 14:49:31

這個問題其實很難跟你說可以跟不可以。
要做到也不是沒有方法。只是這樣就失去了原本使用ad的意義了。

而且我相信依你的想法,你因該還是很想用一個人家做好的套件安裝就可以用了。
想法不錯。但真的有這樣的東西存在嗎?

畢竟這種東西,需要同時對windows跟linux有一定的了解程度。才有可能開發的出來。
而且這樣的東西,也容易破壞原本的安全性跟保護性。

我是不確定有沒有這樣的東西,因為一般不會很刻意去找這種會砸我的腳的人。
由其是有資安管理需求的人員。更不可能去找這樣的東西。

看後面有沒有人會回答你的問題了。

ps:linux並不能做網頁喔。就跟windows一樣。它並不能做網頁的。問題要很小心。
。然後,你要的做法。我給你一個提示,可以往java方面去找看看。因為java是可以跨作業系統。

seeyounow iT邦新手 5 級 ‧ 2018-11-20 15:19:41 檢舉

安裝套件是不需要自己做網頁的,當然需要安裝Apache我知道,另外就是開源的好處是代碼大家有目共睹有bug有後門都會很快被抓出來,像是ASP.net Core進步速度。另外像cacti和openaudit等套件這種相信就算是大部分"大公司"也不太會自己做,另外我是要應用在網頁上,所以只是一個login網頁想在其他內部或外部網頁作為前端入口,AD是在作業系統使用還是必需要的,這兩種是不同的應用,是我沒敘述好,還是感謝你的回覆。

seeyounow iT邦新手 5 級 ‧ 2018-11-21 09:17:24 檢舉

原來這是娛樂版

2
cmwang
iT邦高手 1 級 ‧ 2018-11-20 16:06:45

Client有login AD時,Web server是可以透過AUTH required讓Browser送Kerberos的ticket上來,然後憑Kerberos ticket去識別user在AD上的身份的(關鍵字叫mod_auth_kerb),樓主參考參考吧....

cmwang iT邦高手 1 級 ‧ 2018-11-21 09:45:22 檢舉

Kerberos作SSO的話提供service的server不須要同步AD上的帳密,只要能解得出來Kerberos的ticket就行了....
https://ithelp.ithome.com.tw/upload/images/20181121/2000486816dJ1w0rgl.png

https://ithelp.ithome.com.tw/upload/images/20181121/20004868FlnFr23BfN.png

seeyounow iT邦新手 5 級 ‧ 2018-11-21 10:26:33 檢舉

我稍微查了一下,這部分看來比LADP機制更深入一些,我之後再研究看看,感謝,請問有使用centos7嘛,目前是看這篇,但遇到了些問題
http://blog.ilc.edu.tw/blog/blog/25793/trackbacks/468054

cmwang iT邦高手 1 級 ‧ 2018-11-21 12:34:11 檢舉

這跟用哪個OS架沒關係(上面的例子是架在BSD上的),只要OS有提供Kerberos相關工具,接下來把Web server設成要求認證(不過auth_type應該只能設成negotiate,沒辦法直接要求client走Kerberos----因為http是個很古老的協定),Browser會試著以其支援的最佳方式(目前就是Kerberos)對Web server作auth,Web server自然就知道user是誰了....

1
froce
iT邦高手 1 級 ‧ 2018-11-20 16:30:05

其實...應該各語言都有吧。
python的是python-ldap。
我在公司內的網站都是透過這個套件,先認證過完再去更新使用者資料。

不過建議在公司內用就好,公司外不建議使用。如果你時即時認證不存資料庫內的話還好,存在資料庫被破、伺服器被入侵,整個公司的帳密都可以打包走。

seeyounow iT邦新手 5 級 ‧ 2018-11-21 09:15:08 檢舉

當然基本上會在內網使用而,感謝提供思路,已找到,關鍵字mod_authz_ldap php-ldap

我要發表回答

立即登入回答