Как сделать бесшовную авторизацию на корпоративном сайте?

Question

[annscherbina]

Добрый день!
При создании корпоративного сайта возникла следующая проблема. Необходимо реализовать бесшовную авторизацию, чтобы пользователь вводил свои логин пароль при загрузке Windows, и после этого он автоматически считался авторизованыым на сайте.

Answer 1

[Дмитрий Энтелис]

Есть 2 варианта:

1. В лоб: NTLM авторизация. Для работы в IE/Chrome необходимо что бы сайт был добавлен в доверенные, в настройках проверка подлинности пользователя стоял автоматический вход в сеть с текущим именем, + дополнительно в windows 7+ www.symantec.com/business/support/index?page=conte... + developers.de/blogs/damir_dobric/archive/2009/08/1... и superuser.com/questions/682524/how-to-change-local...
В FF дополнительно надо sivel.net/2007/05/firefox-ntlm-sso

Далее на сайте через NTLM получаем имя пользователя и домен - и далее в зависимости от паранои либо верим на слово, либо идем в AD и проверяем что такой пользователь есть.

Хочу отдельно подчеркнуть что этот способ авторизации НЕ РЕКОМЕНДУЕТСЯ официально, т.к является достаточно дырявым (формат ntlm со стороны клиента очень простой, можно легко подделать запросы и передать любые данные).

2. Использовать active directory federation services
Живого опыта у меня тут нет, но в целом выглядит более надежно.

Comments

[annscherbina]

не могли бы вы подробнее описать, как через NTLM получить имя пользователя и домен?

[Дмитрий Энтелис]

@annscherbina
Код на php. Писали не мы, но работает. Хотя есть мнение что не совсем корректно парсит ntlm.

spoiler

/*********************************************************************** 
*    PHP NTLM GET LOGIN  
*    Version 0.2 
* ====================================================   
*                                         
* Copyright (c) 2004 Nicolas GOLLET (Nicolas.gollet@secusquad.com) 
* Copyright (c) 2004 Flextronics Saint-Etienne 
* 
* This program is free software. You can redistribute it and/or modify  
* it under the terms of the GNU General Public License as published by  
* the Free Software Foundation; either version 2 of the License.          
* 
***********************************************************************/ 


/* 
L'identification par NTLM se fait en 6 etape : 

etape: | type:      | Info echange 
-------|----------------|-------------------------------------------------- 
    1   | C --> S       | GET ...                               legende : C = Client 
-------|----------------|--------------------------------------------------                     S = Serveur 
    2   | C <-- S   | 401 Unauthorized 
         |              | WWW-Authenticate: NTLM 
-------|----------------|-------------------------------------------------- 
    3   | C --> S       | GET ... 
         |              | Authorization: NTLM <base64-encoded type-1-message> 
-------|----------------|-------------------------------------------------- 
    4   | C <-- S   | 401 Unauthorized 
         |              | WWW-Authenticate: NTLM <base64-encoded type-2-message> 
-------|----------------|-------------------------------------------------- 
    5   | C --> S       | GET ... 
         |              | Authorization: NTLM <base64-encoded type-3-message> 
-------|----------------|--------------------------------------------------  
    6   | C <-- S        | 200 Ok 
-------|----------------|-------------------------------------------------- 

*/ 
if (!function_exists('getallheaders')) 
{ 
    function getallheaders() 
    { 
           $headers = ''; 
       foreach ($_SERVER as $name => $value) 
       { 
           if (substr($name, 0, 5) == 'HTTP_') 
           { 
               $headers[str_replace(' ', '-', ucwords(strtolower(str_replace('_', ' ', substr($name, 5)))))] = $value; 
           } 
       } 
       return $headers; 
    } 
} 


$headers = getallheaders();    // Recuperation des l'entetes client 
     

	 
if(!isset($headers['Authorization'])){              //si l'entete autorisation est inexistante 
    header( "HTTP/1.0 401 Unauthorized" );          //envoi au client le mode d'identification 
    header( "WWW-Authenticate: NTLM" );         //dans notre cas le NTLM 
    die();                           //on quitte 

}; 

if(isset($headers['Authorization']))                //dans le cas d'une authorisation (identification) 
{        
    if(substr($headers['Authorization'],0,5) == 'NTLM '){   // on verifit que le client soit en NTLM 
     
     
        $chaine=$headers['Authorization'];      
        $chaine=substr($chaine, 5);             // recuperation du base64-encoded type1 message 
        $chained64=base64_decode($chaine);      // decodage base64 dans $chained64 
			if(ord($chained64{8}) == 1){                     
				//          |_ byte signifiant l'etape du processus d'identification (etape 3)       
			 
				// verification du drapeau NTLM "0xb2" a l'offset 13 dans le message type-1-message : 

				var_dump(ord($chained64[13]));
				if (ord($chained64[13]) != 130){ 
					echo "Votre navigateur Internet n'est pas compatible avec le NTLM, utiliser IE...Merci"; 
					exit; 
				} 
				
				$retAuth = "NTLMSSP";                    
				$retAuth .= chr(0);                   
				$retAuth .= chr(2); 
				$retAuth .= chr(0); 
				$retAuth .= chr(0); 
				$retAuth .= chr(0); 
				$retAuth .= chr(0); 
				$retAuth .= chr(0); 
				$retAuth .= chr(0); 
				$retAuth .= chr(0); 
				$retAuth .= chr(40); 
				$retAuth .= chr(0); 
				$retAuth .= chr(0); 
				$retAuth .= chr(0); 
				$retAuth .= chr(1); 
				$retAuth .= chr(130); 
				$retAuth .= chr(0); 
				$retAuth .= chr(0); 
				$retAuth .= chr(0); 
				$retAuth .= chr(2); 
				$retAuth .= chr(2); 
				$retAuth .= chr(2); 
				$retAuth .= chr(0); 
				$retAuth .= chr(0); 
				$retAuth .= chr(0); 
				$retAuth .= chr(0); 
				$retAuth .= chr(0); 
				$retAuth .= chr(0); 
				$retAuth .= chr(0); 
				$retAuth .= chr(0); 
				$retAuth .= chr(0); 
				$retAuth .= chr(0); 
				$retAuth .= chr(0); 
				$retAuth .= chr(0); 
				 
				$retAuth64 =base64_encode($retAuth);        // encode en base64 
				$retAuth64 = trim($retAuth64);          // enleve les espaces de debut et de fin 
				header( "HTTP/1.0 401 Unauthorized" );      // envoi le nouveau header 
				header( "WWW-Authenticate: NTLM $retAuth64" );  // avec l'identification supplementaire 
				exit; 
             
        } 
        else if(ord($chained64{8}) == 3)
		{ 
		
			//               |_ byte signifiant l'etape du processus d'identification (etape 5) 
		 
			// on recupere le domaine 
			 
			$lenght_domain = (ord($chained64[31])*256 + ord($chained64[30])); // longueur du domain 
			$offset_domain = (ord($chained64[33])*256 + ord($chained64[32])); // position du domain.     
			$domain = substr($chained64, $offset_domain, $lenght_domain); // decoupage du du domain 
			 
			//le login 
			$lenght_login = (ord($chained64[39])*256 + ord($chained64[38])); // longueur du login. 
			$offset_login = (ord($chained64[41])*256 + ord($chained64[40])); // position du login. 
			$login = substr($chained64, $offset_login, $lenght_login); // decoupage du login 
			 
			// l'host    
			$lenght_host = (ord($chained64[47])*256 + ord($chained64[46])); // longueur de l'host. 
			$offset_host = (ord($chained64[49])*256 + ord($chained64[48])); // position de l'host.   
			$host = substr($chained64, $offset_host, $lenght_host); // decoupage du l'host   
			 
			 

			echo "Domain is  : $domain <br>"; 
			echo "<br>Login is : $login <br>"; 
			echo "<br>host is  : $host <br>"; 
         
        } 

    } 

}

[Дмитрий Энтелис]

@annscherbina Есть еще https://github.com/loune/php-ntlm его не щупал вживую.

[Дмитрий Энтелис]

@annscherbina В рамках оффтопика - вы уже четвертый человек за месяц (включая двух клиентов), которому на пальцах объясняешь что NTLM это плохо - а все равно все его хотят. Карма у меня плохая наверное :(

[annscherbina]

@DmitriyEntelis за объяснения вам +10 в карму сейчас) просто хочется побыстрее все сделать и сдать, поэтому выбирается пусть наименьшего сопротивления)

[Дмитрий Энтелис]

@annscherbina Хех, а еще говорят что enterprise разработка не торопится)