Onderwerp: Single Sign On met Apache 2.4 en LDAP

Hallo WHT'ers,

Een klant heeft een intranet waar ze vanaf hun Windows VDI's m.b.v. SSO automatisch op moet kunnen worden ingelogd. Het moet dus zo simpel zijn als inloggen op hun VDI, browser openen en direct zijn ingelogd namens hun eigen naam in het intranet.

Wat we hebben;
- Ubuntu webserver (Apache 2.4, PHP 5.5, etc)
- LDAP server (IP: 1.2.3.4, let op ze hebben dus geen Active Directory!!!!)
- Windows VDI welke aan de LDAP server hangt
- Internet Explorer

Wat we hebben gedaan;
- mod_auth_ldap geïnstalleerd op de Ubuntu server
- In de webroot van het intranet, een .htaccess bestand geplaatst met daarin;

Order deny,allow
Deny from all

AuthType Basic
AuthName "LDAP Protected"
AuthBasicProvider ldap
AuthLDAPUrl "ldap://1.2.3.4:389/ou=Users,o=ORG"

require valid-user
Satisfy Any

Wanneer we nu naar het intranet surfen krijgen we een login box (van apache uit). Als we hier credentials invoeren van verschillende gebruikers in de LDAP directory worden we netjes ingelogd, krijgen we het intranet te zien, en zijn we op het intranet ingelogd als de desbetreffende gebruiker. Top! Hieruit kunnen we dus concluderen dat de connectie tussen apache en de LDAP server juist is en functioneert.

Wat er echter niet werkt is het automatisch stukje. We moeten nu iedere keer, na het starten van de browser, gebruikersgegevens ingeven. Het lijkt er dus op dat de browser de credentials van de tegen LDAP geauthenticeerde gebruiker niet doorgeeft aan Apache.

Voor de zekerheid hebben we in IE onder de security settings van "Local intranet" de hostname van het intranet toegevoegd. Dit zou nodig zijn zodat internet explorer de credentials doorgeeft met pass-through authentication.

Wat zien wij hier over het hoofd?

Alvast bedankt!

Kun je iets meer over de Windows omgeving vertellen? Afhankelijk van hoe die is opgezet is wat de simpelste oplossing is (overigens kun je de login gegevens wel automatisch in laten vullen met bv Firefox, maar dat is nog geen SSO). SSO zou (in theorie in ieder geval) mogelijk moeten zijn, ik heb het nog niet getest icm een inlog vanuit Windows. Middels een Windows domain of een openldap slave van een AD omgeving zou het mogelijk moeten zijn, zonder kan het ook denk ik (maar dan moet ik even wat lezen wat toch nog op de planning staat voor eind augustus).

Kijk anders even naar de onderdelen van LPI-300, daar zit naar ik op dit moment denk al de vereiste basis/achtergrond informatie in om dit op te lossen.

Wat er echter niet werkt is het automatisch stukje. We moeten nu iedere keer, na het starten van de browser, gebruikersgegevens ingeven. Het lijkt er dus op dat de browser de credentials van de tegen LDAP geauthenticeerde gebruiker niet doorgeeft aan Apache.

IE stuurt nooit het echte wachtwoord mee, en dat is het enige dat je met LDAP kan verifieeren.
Voor SSO heb je Kerberos, maar geen idee of dat in jouw setup wel werkt.

Oorspronkelijk geplaatst door maxnet

IE stuurt nooit het echte wachtwoord mee, en dat is het enige dat je met LDAP kan verifieeren.
Voor SSO heb je Kerberos, maar geen idee of dat in jouw setup wel werkt.

Ik heb ook nog het e.e.a. gelezen en ik denk dat we inderdaad Kerberos (i.c.m. LDAP) nog nodig hebben voor de SSO authenticatie.

Ik heb niet direct een oplossing, maar dat je huidige setup niet werkt zoals je wil is logisch. Wat je nu hebt gedaan is Apache vertellen dat een pagina achter een inlogsysteem moet. Dat heb je geconfigureerd en werkt prima, zoals je zelf aangeeft.

Wat je moet regelen is dat je op een of andere manier een token hebt die je over de verschillende systemen verspreid. Kortom, na het inloggen moet Internet Explorer aan websites iets mee geven van een identificatie waaruit de website kan opmaken dat er is ingelogd als een specifieke gebruiker. Voor zover mij bekend sturen browsers zoiets niet standaard mee, dus ik denk dat je al moet kijken naar een Java/Flash/ActiveX achtige oplossing die iets mee stuurt qua identificatie.

Ik zat zelf nog te denken aan authenticatie op IP-basis, maar je zult waarschijnlijk meerdere VDI's hebben die 1 IP-adres delen. Dat is dus ook geen oplossing.

Ik heb hier geen ervaring mee, maar ik denk dat het nog best complex kan zijn wat jij wil. Maar Kerberos zou denk ik inderdaad moeten kunnen, maar ik denk dus dat de implementatie nog wel voor wat kopzorgen zal zorgen.

Bedankt voor de reacties so far!

Ik heb het Kerberos verhaal bij de lokale Sysadmins neergelegd omdat er een koppeling gemaakt dient te worden tussen Kerberos en LDAP. Ik zelf heb of krijg geen toegang tot de interne systemen (en dus de LDAP server) van de klant.

Zodra de KRB bak up-and-running is kunnen we verder met het koppelen van Apache.