authentifizierung über einen primary domaincontroller mittels NTLM

RaistlinMajere · 29.09.2003, 14:36

in einem intranettool, an dem ich arbeite, ist eine solche erfolgreich implementiert. nun ist es aber so, daß ich für dieses tool gerne eine alternative authentifizierung hinzufügen würde, die auf dem lokalen webserver (apache 1.3), auf dem das tool läuft, stattfinden soll, um für den fall, daß der primary domaincontroller ausfallen sollte, noch einen zugang zu ermöglichen.

dazu müßte der virtual host, in dem die authentifzierung über NTLM erfolgt, so konfiguriert werden, daß im falle eines fehlschlags eine alternative möglich ist.

der entsprechende virtual host-eintrag in der httpd.conf sieht folgendermaßen aus:

Code:

<VirtualHost MyServer>
    ServerAdmin root@localhost
    DocumentRoot /usr/local/httpd/htdocs/
    ServerName MyServer
    ErrorLog '|/usr/sbin/rotatelogs /var/log/httpd/error_log 86400
    CustomLog '|/usr/sbin/rotatelogs /var/log/httpd/access_log 86400' common

<Directory /usr/local/httpd/htdocs/>
Options Indexes -FollowSymLinks +Includes MultiViews ExecCGI
PerlHandler Apache::PerlRun

       PerlAuthenHandler Apache::AuthenNTLM
       AuthType basic
       AuthName "MyName"
       require valid-user

       #                    domain             pdc                bdc
       PerlAddVar ntdomain "MYDOMAIN      DCRFG         DCSRV"

       PerlSetVar defaultdomain MYDOMAIN
       PerlSetVar ntlmdebug 1

</Directory>
</VirtualHost>

mir ist schon klar, daß sich das problem auch über einen weiteren virtual host lösen ließe, doch die alternativvariante gefällt mir einfach besser. nur leider ist die dokumentation im web diesbzgl. mehr als dürftig, kann vllt. jemand aushelfen?

RaistlinMajere · 29.09.2003, 16:19

hat sich erledigt, ich bin ein wenig auf der leitung gestanden.

einfach einen virtual host auf einem anderen port definieren und schon braucht man keinen eigenen dns-eintrag mehr. zwar wäre die variante über alternative innerhalb eines virtual hosts natürlich eleganter, aber so gehts auch.

RaistlinMajere · 30.09.2003, 12:12

und wieder ist eine nachkorrektur erforderlich, sollte es jemanden interessieren:

nach vielem researchen im web und diversen büchern, rumprobieren und ärgern bin ich zur erkenntnis angelangt, daß die implementierung mehrerer virtual host, die sich lediglich aufgrund ihres ports unterscheiden, nicht möglich ist (zumindest nicht in der 1.3er-version des indianers).

bei mehreren virtual hosts mit dersselben ip/dem selben domainnamen, die sich nur über den angesprochenen port unterscheiden, wird immer der zuerst in der httpd.conf-reihenfolge angegebene virtual host mit der entsprechenden IP & port angesprungen, in meinem fall port 80.

zu hilfe genommenen literaur, wo in beispielen über ports angesprochene virtual hosts auch immer über ip´s bzw. domainnamen angesprochen werden, die nicht diesselben sind, wie davor in anderen virtual hosts definiert, dürfte dies bestätigen.

was natürlich sehr wohl möglich ist, sind mehrere virtual hosts, die auf dieselbe ip/domainname gehen und über einen über einen anderen servernamen angesprochen werden (ist ja der eigentliche sinn von virtual hosts), aber wie gesagt, eine unterscheidung mehrerer virtual hosts rein über ports spielts leider nicht.

somit bleibt mir wohl nix übrig, als das ganze über einen zusätzlichen dns-eintrag (selbe ip, anderer servername, entsprechend des dns-eintrags) zu bewerkstelligen, auf den der virtual host dann verweisen wird.

29.09.2003, 14:36	#1
RaistlinMajere Inventar Registriert seit: 06.04.2001 Alter: 44 Beiträge: 2.343	authentifizierung über einen primary domaincontroller mittels NTLM in einem intranettool, an dem ich arbeite, ist eine solche erfolgreich implementiert. nun ist es aber so, daß ich für dieses tool gerne eine alternative authentifizierung hinzufügen würde, die auf dem lokalen webserver (apache 1.3), auf dem das tool läuft, stattfinden soll, um für den fall, daß der primary domaincontroller ausfallen sollte, noch einen zugang zu ermöglichen. dazu müßte der virtual host, in dem die authentifzierung über NTLM erfolgt, so konfiguriert werden, daß im falle eines fehlschlags eine alternative möglich ist. der entsprechende virtual host-eintrag in der httpd.conf sieht folgendermaßen aus: Code: <VirtualHost MyServer> ServerAdmin root@localhost DocumentRoot /usr/local/httpd/htdocs/ ServerName MyServer ErrorLog '\|/usr/sbin/rotatelogs /var/log/httpd/error_log 86400 CustomLog '\|/usr/sbin/rotatelogs /var/log/httpd/access_log 86400' common <Directory /usr/local/httpd/htdocs/> Options Indexes -FollowSymLinks +Includes MultiViews ExecCGI PerlHandler Apache::PerlRun PerlAuthenHandler Apache::AuthenNTLM AuthType basic AuthName "MyName" require valid-user # domain pdc bdc PerlAddVar ntdomain "MYDOMAIN DCRFG DCSRV" PerlSetVar defaultdomain MYDOMAIN PerlSetVar ntlmdebug 1 </Directory> </VirtualHost> mir ist schon klar, daß sich das problem auch über einen weiteren virtual host lösen ließe, doch die alternativvariante gefällt mir einfach besser. nur leider ist die dokumentation im web diesbzgl. mehr als dürftig, kann vllt. jemand aushelfen? ____________________________________ "Life is like a box of rockets," said the Marine. "You never know what you´re gonna ret." Then he pulled the trigger of his BFG9000.

29.09.2003, 16:19	#2
RaistlinMajere Inventar Registriert seit: 06.04.2001 Alter: 44 Beiträge: 2.343	hat sich erledigt, ich bin ein wenig auf der leitung gestanden. einfach einen virtual host auf einem anderen port definieren und schon braucht man keinen eigenen dns-eintrag mehr. zwar wäre die variante über alternative innerhalb eines virtual hosts natürlich eleganter, aber so gehts auch. ____________________________________ "Life is like a box of rockets," said the Marine. "You never know what you´re gonna ret." Then he pulled the trigger of his BFG9000.

30.09.2003, 12:12	#3
RaistlinMajere Inventar Registriert seit: 06.04.2001 Alter: 44 Beiträge: 2.343	leider nein... und wieder ist eine nachkorrektur erforderlich, sollte es jemanden interessieren: nach vielem researchen im web und diversen büchern, rumprobieren und ärgern bin ich zur erkenntnis angelangt, daß die implementierung mehrerer virtual host, die sich lediglich aufgrund ihres ports unterscheiden, nicht möglich ist (zumindest nicht in der 1.3er-version des indianers). bei mehreren virtual hosts mit dersselben ip/dem selben domainnamen, die sich nur über den angesprochenen port unterscheiden, wird immer der zuerst in der httpd.conf-reihenfolge angegebene virtual host mit der entsprechenden IP & port angesprungen, in meinem fall port 80. zu hilfe genommenen literaur, wo in beispielen über ports angesprochene virtual hosts auch immer über ip´s bzw. domainnamen angesprochen werden, die nicht diesselben sind, wie davor in anderen virtual hosts definiert, dürfte dies bestätigen. was natürlich sehr wohl möglich ist, sind mehrere virtual hosts, die auf dieselbe ip/domainname gehen und über einen über einen anderen servernamen angesprochen werden (ist ja der eigentliche sinn von virtual hosts), aber wie gesagt, eine unterscheidung mehrerer virtual hosts rein über ports spielts leider nicht. somit bleibt mir wohl nix übrig, als das ganze über einen zusätzlichen dns-eintrag (selbe ip, anderer servername, entsprechend des dns-eintrags) zu bewerkstelligen, auf den der virtual host dann verweisen wird. ____________________________________ "Life is like a box of rockets," said the Marine. "You never know what you´re gonna ret." Then he pulled the trigger of his BFG9000.

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)