Apache mit Active Directory Authentifizierung

[nighT]

Hallo Leute,
ich bin heute auf ein Problem gestoßen und zwar wurde mir aufgetragen ein MediaWiki einzurichten, welches auf die Logindaten der Active Directory Datenbank zugreifen soll. Die Übertragung sollte zusätzlich verschlüsselt ablaufen, also SSL o.ä.
Ja, ich weiß: Active Directory.... Aber es läuft nunmal und zudem kann ich nicht einfach die ganzen Server über den Haufen werfen Hat schon lange genug gedauert, die Leute davon zu überzeugen, dass es Linux als Webserver sein soll...

Kennt von euch jemand ein gutes HowTo oder hat vielleicht schon selbst etwas in der Art eingerichtet und kennt Hürden?

mfg
nighT

 

[slackfan]

Grüße,


das ist aber eine recht schwierige Aufgabe, befürchte ich Du hast doch hier mindestens zwei Probleme, oder? Entweder bastelst du das Loginmodul von MediaWiki um, um die eingegebenen Zugangsdaten gegen das LDAP des ActiveDirectory zu authentifizieren, oder lässt die Authentifizierung vom Apache erledigen. Dann benötigst du aber noch eine Möglichkeit, den Benutzernamen an MediaWiki zu senden und von MediaWiki entgegen nehmen zu lassen. Das Senden ließe sich per mod_rewrite realisieren. Die Entgegennahme durch MediaWiki könnte schwierig werden. So und so bleibt dann noch das Problem des Passworts. Soll das auch übertragen werden oder genügt der Benutzername und du bindest den MediaWikiServer z.B. an einen ReverseProxy, der dann alleine die Authentifizierung übernimmt und MediaWiki akzeptiert nur Anfragen des ReverseProxy?

Sollte man diese Hürden überwunden haben, hat man noch das Problem, wie sich MediaWiki gegenüber einem Account verhält, der nicht in der eigenen Datenbank vorhanden ist. Wird dann der Zugriff verweigert oder ein Useraccount angelegt? Wenn ja, wie und mit welchen Rechten, sollen die wieder aus dem LDAP gezogen werden?

Bzgl. der Anbindung eines Apache Httpd an ein LDAP (auch ActiveDirectory) hat mir mal das sehr weitergeholfen.


cu
und entschuldige die Bleiwüste

 

[nighT]

das ist aber eine recht schwierige Aufgabe, befürchte ich

Genau das ist mein Problem Ich komme selbst nicht so wirklich hinter die Lösung.

Aber Danke schonmal für dein Link.

Als erstes Ziel setze ich mir mal die verschlüsselte Verbindung zum LDAP-Server. Wie ich das dann mit dem MediaWiki regle, lasse ich jetzt erstmal außen vor.

Wenn ein User nicht vorhanden ist, soll dementsprechend auch nur der Login verweigert werden. Eine manuelle Registrierung über das MediaWiki soll nicht ermöglicht werden!
Kurz Ausgedrückt: Vorhandene User - Zugriff; Nicht vorhandene User - kein Zugriff!

Am Montag wird mir mal ein Linux Server bereitgestellt (Hoffe ich zumindest) und dann werde ich die Anleitung, die du gepostet hast, mal durchgehen.

grüße

 

[HeadCrash]

Hallo,

grade über Tante Google hierauf gestoßen Extension:LDAP_Authentication eventuell hilfts ja, scheint auf jeden fall für den gewünschten Zweck gemacht zu sein.

mfg
HeadCrash

 

[nighT]

Hallo,

grade über Tante Google hierauf gestoßen Extension:LDAP_Authentication eventuell hilfts ja, scheint auf jeden fall für den gewünschten Zweck gemacht zu sein.

mfg
HeadCrash

Vielen Dank für den Link. Sieht schon mal ziemlich vielversprechend aus.
Werde es am Montag ausprobieren und meine Ergebnisse hier preisgeben