Hallo WHT'ers,
Een klant heeft een intranet waar ze vanaf hun Windows VDI's m.b.v. SSO automatisch op moet kunnen worden ingelogd. Het moet dus zo simpel zijn als inloggen op hun VDI, browser openen en direct zijn ingelogd namens hun eigen naam in het intranet.
Wat we hebben;
- Ubuntu webserver (Apache 2.4, PHP 5.5, etc)
- LDAP server (IP: 1.2.3.4, let op ze hebben dus geen Active Directory!!!!)
- Windows VDI welke aan de LDAP server hangt
- Internet Explorer
Wat we hebben gedaan;
- mod_auth_ldap geïnstalleerd op de Ubuntu server
- In de webroot van het intranet, een .htaccess bestand geplaatst met daarin;
Wanneer we nu naar het intranet surfen krijgen we een login box (van apache uit). Als we hier credentials invoeren van verschillende gebruikers in de LDAP directory worden we netjes ingelogd, krijgen we het intranet te zien, en zijn we op het intranet ingelogd als de desbetreffende gebruiker. Top! Hieruit kunnen we dus concluderen dat de connectie tussen apache en de LDAP server juist is en functioneert.Order deny,allow
Deny from all
AuthType Basic
AuthName "LDAP Protected"
AuthBasicProvider ldap
AuthLDAPUrl "ldap://1.2.3.4:389/ou=Users,o=ORG"
require valid-user
Satisfy Any
Wat er echter niet werkt is het automatisch stukje. We moeten nu iedere keer, na het starten van de browser, gebruikersgegevens ingeven. Het lijkt er dus op dat de browser de credentials van de tegen LDAP geauthenticeerde gebruiker niet doorgeeft aan Apache.
Voor de zekerheid hebben we in IE onder de security settings van "Local intranet" de hostname van het intranet toegevoegd. Dit zou nodig zijn zodat internet explorer de credentials doorgeeft met pass-through authentication.
Wat zien wij hier over het hoofd?
Alvast bedankt!