[oddholst]

Om du inte vill vara utan Apache så skulle du kunna hantera inloggningen med IIS och resten med Apache och skicka någon form av biljett med som verifieras mot en databas? En tanke iaf...

[totoo]

hmm... låter lite omständigt och suspekt, men jag förstår din tanke. Frågan är dock om det ens går att låta IIS lösa detta i bakgrunden samtidigt som man surfar mot Apacheservern. Ska fundera lite på det.

Men jag har tills vidare bestämt mig att det ska gå att göra med apache, utan inloggning på själva webbsidan. *klurar vidare*

[patrikweb]

Skapa ett PHP script som sänder NTLM Auth header endast så kommer windows burken att automatisk skicka användarnamn + lösenord som den är inloggad med. Lösenordet är ju självklart en hash.

Självklart går det konfiguera sin burk att inte skicka ut det på det sättet men som standard gör det det.

Den funktionen är rätt osäker då det är lätt att sno valfri företagslösenord genom att skicka dom en url till en sida som begär ntlm auth.

För mer information så får du läsa dig till dokumenttion mer specefikt.

Men är lätt att utnytja för att få tillgång till många login till företag, som tur är så klarar inte alla idioter att hantera något sådant. Eller inte många alls som kan windows mer ingående hur saker fungerar.

[studiox]

Det du vill ha är SSO? Dvs. man måste ändå logga in? Eller vill du att man ska bli inloggad genom att du bara får tag på ett användarnamn?

Tyvärr kan du inte åstadkomma detta genom att man INTE göra några inställningar i IE eller Firefox (Dom enda som supportar SSO med NT
LM). Du behöver få din sida med som en "Trusted Intranet site" under IEs säkerhetsinställningar, annars skulle ju typ vilken site som helst kunna ta reda på ditt inloggade username och DET VILL NOG INGEN !!!

Som tur är kan du styra detta med en GPO (Group Policy) om ni har ett AD (Vilket det verkade som ni hade??)

Efter det är gjort så kan du ta redan på vilken username användaren är inloggad som. Se här http://siphon9.net/loune/f/ntlm.php.txt

Om du vill ha auth också, dvs. att php ska auth mot AD't så behöver du lite roligare saker med LDAP. Vi har gjort det med vårt intranät, att användarna blir automatiskt inloggade. Eftersom servern är med i AD't kan vi också ge rättigheter på intranätet beroende på vilka security groups dom är medlemmar i, samt skapa intranet lokala users automatiskt med info från AD't

[totoo]

Aha, intressant, ska titta på era lösningar så fort jag har tid över.

Alltså, användarna är REDAN INLOGGADE från att de startade sin dator. Webbplatsen ska då få information om vem de är inloggad som. Resten sköter jag själv.

[studiox]

Förstår att du sköter resten själv :-)

Det smarta med att man loggar in på intranätet (även om man redan är det!) är att du då kan få reda på användarens ALLA uppgifter från AD't - Det kanske du inte behöver men det är otroligt smidigt. Exemplevis om du vill ta reda på vem som är deras chef för exemplevis skicka en tidsrapport till chefens e-post så kan du ju lätt göra det genom en query i AD't.

[totoo]

I see, men tror du man kan lösa detta utan att ha två inloggningar? Även om det finns styrkor med detta (som du själv säger) så blir det ändå ett onödigt steg eftersom vi inte har nytta av den infon som kan medföras.... (om den infon ens finns i AD:t)... Om det går att slippa webbsidans inloggning så ska vi göra det.

Tack

[SimonP]

Jag kanske missförstår, men det verkar inte vara så svårt...

Kod:

@exec("net session",$output);
foreach ($output as $line)
{
 // här filterar du bort onödig info
 // splitta upp raden efter spaces
 // lagra en array med IP och en array med username
 echo $line."<br>"; // enbart för test
}

[totoo]

Du är fan gud, det där kan nog faktiskt funka. Det ser inte vattentätt ut, men det kan nog gå.

Samma user kan dyka upp på olika IPadresser, och säkerligen kan samma IP dyka upp med flera olika användare... Men det kanske går att sortera det där smart så att man får fram precis det man vill ha. Jag har inte fått chans att analysera vad en "session" innebär i det här fallet, men det ser rätt ljust ut just nu...

Jag återkommer med testresultat.

Tackar så hjärtligt!

[studiox]

Så om jag tog min privata dator och kopplade upp mig till en share på er server, eller bara skrev ut ett dokument på en skrivare som är utdelad på servern så skulle jag kunna bli inloggad på intranätet lätt som en plätt genom att bara veta ett användarnamn som någon har i företaget? Skulle jag aldrig acceptera. Men det är jag det.

Om du läste mitt inlägg så krävs det inga inställningar i IE för att det ska fungera, bara men vet hur man lägger till en GPO i AD't - Det borde man veta om man har ett AD, annars kan man lika väl kasta ut det