Прозрачная авторизация в домене Windows

Прикрутил к itop LDAP авторизацию в домене windows. Хотелось бы организовать прозрачную авторизацию. Возможно ли это?

Имеете ввиду single sign on?
Насколько я понимаю, работает только с external пользователями:

Single Sign-On on Windows Since iTop uses the PHP variable $_SERVER['REMOTE_USER'] to identify external users, this becomes really simple if your web server is running on Windows. Using IIS you can rely on the Integrated Windows Authentication and if using Apache you can use the sspi_auth_module. Both will set the variable $_SERVER['REMOTE_USER'] to the authenticated user as “DOMAIN\USERNAME”. Simply create your External users names the same way: DOMAIN\USERNAME and the iTop authentication will be transparent to your end users.
https://wiki.openitop.org/doku.php?id=2_3_0:admin:user_authentication_options&s[]=single&s[]=sign

1 лайк

Aleksej_Nevgin, у вас получилось настроить SSO?

У меня Апач под Виндой. sso работает.
Все настройки:

  • со стороны itop - импортировать доменных пользователей и в конфигурационном файле itop в параметре allowed_login_types выдвинуть вперед external.
  • со стороны веб-сервера - организовать ntlm-аутентификацию в папке itop (mod_ldap + mod_authn_ntlm + правильный файл .htaccess).
    Всё.

У кого-нибудь получилось сделать SSO на apache RHEL7?
Apache настроил, в нете много статей про это.
Когда захожу в itop, в браузере выходит окно на ввод логина и пароля, но аутентификация не проходит.
В логах apache есть ошибки:

  • cannot find key for HTTP/itop.example.com@EXAMPLE.COM kvno 16 in keytab
  • failed to verify krb5 credentials: Key version is not available

В iTop выставил вперед external в настроках, создал внешнего пользователя

в настройках браузера необходимо добавить домен itop.example.com в местную интрасеть