Einloggen ohne Benutzername und Passwort aus dem Web-Browser unter Windows
https://stackoverflow.com/questions/422403
-
05-07-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianFrage
Ich habe gehört, dass unter Windows können Sie über einen Webbrowser ohne Umweg über die übliche Login auf die Web-Server anmelden Benutzername und ein Passwort eingeben, sondern die Anmeldeinformationen aus dem Windows direkt über das NTLM-Protokoll verwendet wird.
Wie wird das erreicht? Hat der Web-Server müssen einige zusätzliche Authentifizierung unterstützen?
Update: Ich bin für einen generischen Web-Server zu fragen, nicht nur IIS. Wie zu tun, dass auf Apache zum Beispiel?
Lösung
Der Webserver muss nur konfiguriert werden, Windows-Authentifizierung zu unterstützen (die NTLM sein wird, oder - besser - Kerberos, wenn Client und Server W2K oder höher). Ich glaube, dass IIS oder Apache kann so konfiguriert werden, das zu tun.
Der Browser hat auch dies zu unterstützen - zumindest IE nicht so (nicht sicher über die anderen, kann es möglich sein). edit: sieht aus wie firefox eine gewisse Unterstützung für diese auch, und Safari auf MacOS
hatedit: für Details auf Apache, Google-Module für die NTLM-Authentifizierung. Kerberos-Module sind ebenfalls vorhanden. wie pro anderen Antworten, das wirklich funktioniert nur in einem Intranet - nicht nur, weil der Browser in einer Intranet-Zone sein muss (gilt nur für IE), sondern weil jeder dazwischen liegenden Firewall wird in der Regel um diese Funktion zu stoppen, und weil die notwendige Interdomain vertraut werden wahrscheinlich nicht existieren. Es ist auch ein bisschen schwierige Arbeit zu machen, wenn der Apache-Server auf UNIX ist, und vor allem, wenn Sie auch in der Mischung Kerberos-Server auf UNIX haben, aber immer noch möglich.
Andere Tipps
Es wird nur in einer bestimmten Situation nahtlos sein; nämlich muss der Webserver NTLM (zB IIS) unterstützen, und es muss in einer Zone sein, dass der Client konfiguriert ist, zu vertrauen (das „Intranet Zone“ in IE parlance, es sei denn, der Endbenutzer ihre Einstellungen gezwickt hat)
Wenn Ihr Webserver und Client-PCs in einem Netzwerk von Active Directory oder ähnliches gesichert ist, können Sie ‚Integrierte Sicherheit von Windows‘ in IIS auf dem Web-Server für die Website festgelegt, die in allen IE-Clients automatisch protokolliert (die erlaubt sind).
Wie bereits erwähnt, NTLM wird normalerweise verwendet, wenn Ihr Backend ist Windows-Managed (MS Active Directory). Allerdings gibt es auch Module für Apache, die in diese binden wird. mod_ntlm
Da dies sein eigenes Protokoll ist, ist es erforderlich, dass der Browser der Lage ist, dieses Protokoll zu verstehen und auf die Authentifizierungs Herausforderungen antworten. Ich weiß nicht, welche diesen Browser unterstützt aus der Hand, aber meine Vermutung wäre, dass die meisten tun.
Aus meiner Erfahrung ist kerberos eher eine bevorzugte Methode, aber ich habe nicht mit ihm viel, so leider gearbeitet, ich habe nicht viel raten, wie weit das geht.
Auf einer Seite beachten, ich erinnere mich irgendwo gelesen zu haben, dass die JRE hat auch Möglichkeiten der Einbindung in NTLM auf dem Webserver, um Identitätsinformationen für die authentifizierten Benutzer zu erhalten. Wie bereits erwähnt, hat .NET-Unterstützung für diese auch.
Auch dann, wenn Firefox nicht NTLM standardmäßig unterstützen, aber es kann mit der folgenden tut konfiguriert werden: http://www.crossedconnections.org/w/?p=89
Wenn Sie die IIS-Einstellungen Ihren Benutzern eine Authentifizierung erforderlich, dann müssen Sie die Seite einzuloggen zuzugreifen. Sie haben dann keine Rechte (wenn keine Schnittstelle) zu irgendetwas auf diesem Server, die sie würden, wenn sie in gewohnter Weise angemeldet (von der Konsole).
Andere als diese, bin ich nicht sicher, was Sie sich beziehen.
Ja, das ist möglich. Es wird oft in Intranet-Anwendungen eingesetzt, in denen Benutzer sind. Fenster verwenden NTLM oder Kerberos den Benutzer gegen einen zentralen Dienst zu autorisieren, in der Regel Active Directory auf der Windows-Plattform. Auf der .NET-Plattform können die aktuellen Benutzer Informationen, die durch werden die System.Threading.Thread.CurrentPrincipal.Identity Instanz.
Später fand ich eine ziemlich ähnliche Frage Retrieve NTLM Active Directory-Benutzerdaten zu Rails w / o IIS mit guten Antworten auch.
Sie können auch in Jespa suchen. Es scheint ein wenig mehr geradeaus als Kerberos, sondern bietet gute ntlm sso Fähigkeiten.
Ich war auf der Suche nach mehr Informationen über Kerberos (weil NTLM, auch v2, mit AD veraltet geworden 2008), und ich diesen Artikel gefunden, die erklärt, wie es mit Apache funktioniert (wie Sie es erwähnt). http://blog.scottlowe.org/2006/ / 08/10 kerberos-based-sso-with-apache /
Diese Frage ist wahrscheinlich veraltet (oder zumindest gelöst), aber wenn es jemand helfen kann ...
