Como autenticar o TWiki no Windows Active Directory

4

Como eu poderia conseguir que o TWiki fosse autenticado de forma transparente no Windows Active Directory com Single Sign-on?

    
por Rym 09.06.2009 / 13:43

5 respostas

4

Eu escrevi parte da documentação suplementar para esse recurso. O guia é direcionado ao TWiki 4.2, mas o processo de configuração permanece o mesmo.

O SSO do Kerberos funciona no Firefox, apenas certifique-se de adicionar o nome do seu servidor a network.negotiate-auth.trusted-uris em about: config

O mapeamento de nomes é a parte mais difícil. O plugin TWiki LDAP tem um regex que mapeia os nomes de login do Active Directory para os nomes de usuários do TWiki. Ele tinha problemas de capitalização com o nosso formato firstname.lastname, mas alterando o regex produziu os nomes dos usuários do TWiki que queríamos .

    
por 10.06.2009 / 21:41
2

Você quer dizer single sign-on ou meramente autenticação?

A autenticação é provavelmente muito fácil. Basta apontar o twiki para a OU em que você mantém seus usuários, se for como qualquer outro esquema de autenticação LDAP. O logon único é muito mais complexo e não tenho ideia.

Veja um HOWTO que pode ajudar: link

    
por 09.06.2009 / 13:48
2

A resposta de Matt Simmons é um bom ponto de partida.

Eu adiciono alguns detalhes como eu uso o TWiki com LDAP (LDAP puro não AD).

Em seu conf apache, onde você normalmente tem:

AuthUserFile /var/www/twiki42/data/.htpasswd
...

substitua-o por:

AuthType Basic
AuthBasicProvider ldap
AuthzLDAPAuthoritative off
AuthName "login with your AD/domain credentials ..."
AuthLDAPURL ldap://your.ad.example.org/ou=people,dc=example,dc=org
require valid-user

(Você precisa definir os valores apropriados em AuthLDAPURL, é claro). Você tem que habilitar o módulo de autenticação apropriado para o ldap. Em sistemas baseados em debian, use:

a2enmod authnz_ldap

verifique se você tem

$TWiki::cfg{PasswordManager} = 'TWiki::Users::HtPasswdUser';

em seu LocalSite.cfg A outra maneira é usar a interface administrativa para configurar isso. Talvez você também queira desativar o registro:

$TWiki::cfg{Register}{EnableNewUserRegistration} = 0;

Basta perguntar se você tem alguma dúvida.

Esta é uma maneira de fazer isso (talvez o mais fácil). A outra maneira é usar o plugin ldap e forçar seus usuários a registrar um novo usuário com base nos dados do ldap (não era isso que eu queria).

    
por 09.06.2009 / 19:13
1

Pelo que entendi, você precisará de um navegador da Web que ofereça suporte ao Kerberos para SSO. O IE provavelmente terá a funcionalidade incorporada para comunicação com, pelo menos, servidores do AD.

Também costumava haver suporte ao Kerberos no Firefox, mas eu apenas verifiquei e por exemplo o do Debian Stable parece não estar vinculado.

    
por 09.06.2009 / 14:40
1

Um método de fazer logon único no AD é usar o NTLM. Você pode fazer o NTLM via HTTP para fornecer aos usuários logins automáticos, mas não é muito simples.

Eu encontrei este artigo de 2006 e este site um pouco mais chamativo de 2005 , mas este terceiro e o link final parece muito mais útil. Espero que um deles te ajude!

    
por 12.06.2009 / 09:47