Hallo zusammen,
ich muss als relativer PHP Laie folgende Problemstellung lösen:
1. Die User des Forums stammen aus verschiedenen NT-Domänen.
2. Der Rechner auf dem das Forum läuft steht in einer Domäne die allen anderen Domänen vertraut.
3. Die User von allen Domänen (außer EINER) werden in die Usertabelle des phpBB-Forums importiert.
Soweit zu den Vorinformationen.
Ich habe die Login.php entsprechend abgeändert, so dass die NT-Anmeldedaten über NTLM automatisch ausgelesen und für das Login im Forum verwendet werden.
Das klappt soweit auch prima.
Wenn sich allerdings ein User aus der EINEN nicht importierten Domäne anmeldet laufe ich in eine Endlosschleife.
- User ruft das Forum auf.
- User klickt auf Login.
- Die Login.php liest die NT-Daten aus.
- Der IIS vertraut dem User, da die NT-Daten an sich ja korrekt sind.
- Die Login.php schaut in der Usertabelle nach, kann aber den User nicht finden.
- Die Login.php läuft in einer Schleife (da ich einen autmatischen Submit beim onload mache).
- Der User kann sich also nie anmelden.
Lösungsidee:
Da die User aus der EINEN bösen Domäne auch noch User in einer lieben Domäne haben (mit denen sie sich aber nicht an NT anmelden) habe ich folgende Idee.
- User ruft das Forum auf.
- User klickt auf Login.
- Die Login.php liest die NT-Daten aus.
- Der IIS vertraut dem User, da die NT-Daten an sich ja korrekt sind.
- Die Login.php schaut in der Usertabelle nach, kann aber den User nicht finden.
- Die Login.php leitet nicht automatisch wieder auf die Loginseite weiter, sondern auf eine modifizierte Version login_cleartext.php.
Diese eine Seite wird im IIS bei der Authentifizierung auf CLEAR-TEXT gestellt (trotzt der bekannten Sicherheitsrisiken)
- Der User bekommt über die login_cleartext.php eine NT-Anmeldemaske und kann dort seine UserID und Kennwort aus der "lieben" Domäne eintragen.
Theoretisch müsste das so funktionieren. Leider habe ich noch keine Ahnung WIE ich das realisieren kann und WO ich welche Ändernungen machen muss.
Kann mir jemand einen Tipp geben und helfen?
so long
Jürgen
PHPBB 2 - IIS 4 - Login mit NTLM & Clear-Text-Authentifi
Mal folgende Idee. Keine Ahnung, ob das so geht - meine NT-Netz-Kenntnisse sind nicht die besten...
Wenn du auf das ganze Forum Zugriffsrechte setzt und dabei nur die User berücksichtigst, die aus einer der importierten Domains stammen, sollte folgendes passieren:
- meldet sich ein User aus einer vertrauten Domain an, so sollte eine automatische Authentifizierung stattfinden und der Rest wie gehabt funktionieren.
- bei Usern aus der anderen Domain sollte die automatische Authentifizierung scheitern und so eine Anmeldemaske erscheinen, in der der User seine Daten aus der anderen Domain eingeben kann. Anschließend sollte er als authentifizierter User der anderen Domain laufen und deine Routine ohne Probleme greifen können.
Gruß, Philipp
Wenn du auf das ganze Forum Zugriffsrechte setzt und dabei nur die User berücksichtigst, die aus einer der importierten Domains stammen, sollte folgendes passieren:
- meldet sich ein User aus einer vertrauten Domain an, so sollte eine automatische Authentifizierung stattfinden und der Rest wie gehabt funktionieren.
- bei Usern aus der anderen Domain sollte die automatische Authentifizierung scheitern und so eine Anmeldemaske erscheinen, in der der User seine Daten aus der anderen Domain eingeben kann. Anschließend sollte er als authentifizierter User der anderen Domain laufen und deine Routine ohne Probleme greifen können.
Gruß, Philipp
Kein Support per PN!
Der Sozialstaat ist [...] eine zivilisatorische Errungenschaft, auf die wir stolz sein können. Aber der Sozialstaat heutiger Prägung hat sich übernommen. Das ist bitter, aber wahr. (Horst Köhler)
Meine Mods
Der Sozialstaat ist [...] eine zivilisatorische Errungenschaft, auf die wir stolz sein können. Aber der Sozialstaat heutiger Prägung hat sich übernommen. Das ist bitter, aber wahr. (Horst Köhler)
Meine Mods
Hi Philipp,
danke für die Antwort.
Die Idee ist nicht schlecht.
Leider habe ich noch ein kleines Problem.
Und zwar handelt es sich bei den Usern um ca. 35.000.
Ich überlege aber gerade, ob ich nicht umgekehrt hergehen kann und der bösen Domain ein Access Denied gebe.
Bin natürlich für weitere Ideen immer offen.
Vielen Dank
Jürgen
danke für die Antwort.
Die Idee ist nicht schlecht.
Leider habe ich noch ein kleines Problem.
Und zwar handelt es sich bei den Usern um ca. 35.000.
Ich überlege aber gerade, ob ich nicht umgekehrt hergehen kann und der bösen Domain ein Access Denied gebe.
Bin natürlich für weitere Ideen immer offen.
Vielen Dank
Jürgen
Aufpassen: es könnte sein, dass das Verhalten unterschiedlich ist, wenn du einem User kein explizites Zugriffsrecht gibst und dem Fall, wo du ihn explizit ausschließt. Das würde ich ggf. nochmals probieren.
Gruß, Philipp
Gruß, Philipp
Kein Support per PN!
Der Sozialstaat ist [...] eine zivilisatorische Errungenschaft, auf die wir stolz sein können. Aber der Sozialstaat heutiger Prägung hat sich übernommen. Das ist bitter, aber wahr. (Horst Köhler)
Meine Mods
Der Sozialstaat ist [...] eine zivilisatorische Errungenschaft, auf die wir stolz sein können. Aber der Sozialstaat heutiger Prägung hat sich übernommen. Das ist bitter, aber wahr. (Horst Köhler)
Meine Mods
