网站识别Windows AD 域账号,并自动登录

最新推荐文章于 2021-08-04 21:16:45 发布
最新推荐文章于 2021-08-04 21:16:45 发布
阅读量1.2w 收藏 10
点赞数 4
分类专栏: WIN32 文章标签: Windows AD mod_auth_kerb
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/vn700/article/details/88658706
版权

KDC (windows 2008): 10.0.2.12 (也就是域服务器)

Workstation (windows 10): 10.0.2.100(也就是公司域内电脑)

Webserver (CentOS release 6.5 (Final), apache2.4): 10.0.2.15 webserver.example.com 

1、配置Webserver,在 10.0.2.15 上 安装krb5-libs,krb5-workstation, apache , mod_auth_kerb(apache的kerberos module),        yum install -y krb5-libs krb5-workstation mod_auth_kerb

2、首先将Workstation的DNS指向域服务器,在公司DNS服务器上新建A记录(webserver.example.com)指向10.0.2.15

3、确保kdc,Webserver,workstation的时间是一致的,kerberos要求时差不能超过5分钟

4、配置Webserver的/etc/krb5.conf

includedir /etc/krb5.conf.d/

[logging]
 default = FILE:/var/log/krb5libs.log
 kdc = FILE:/var/log/krb5kdc.log
 admin_server = FILE:/var/log/kadmind.log

[libdefaults]
 dns_lookup_realm = false
 ticket_lifetime = 24h
 renew_lifetime = 7d
 forwardable = true
 rdns = false
 pkinit_anchors = /etc/pki/tls/certs/ca-bundle.crt
 default_realm = EXAMPLE.COM //域
 default_ccache_name = KEYRING:persistent:%{uid}

[realms]
 SPEECHOCEAN.COM = {
  kdc = 10.0.2.12:88 //KDC默认端口
  admin_server = 10.0.2.12:749
 }

[domain_realm]
# .example.com = EXAMPLE.COM
webserver.example.com = EXAMPLE.COM //此处域名要与webserver一致

5、测试kerb配置是否成功 

[root@localhost ~]# kinit client2@EXAMPLE.COM
Password for client2@EXAMPLE.COM
[root@localhost ~]# klist
Ticket cache: KEYRING:persistent:0:0
Default principal: client2@EXAMPLE.COM

Valid starting       Expires              Service principal
03/19/2019 12:00:00  03/19/2019 22:00:00  krbtgt/EXAMPLE.COM@EXAMPLE.COM
        renew until 03/26/2019 11:59:44

6、在AD上为webserver创建principal

     登录域服务器,执行:

ktpass -princ HTTP/webserver.example.com@EXAMPLE.COM -mapuser client2 -pass xxxxx -out D:\web.keytab

    将生成的web.keytab文件放置到Webserver上,比如/etc/web.keytab,并设置只读权限

   

chown apache:apche /etc/web.keytab
chmod 400 /etc/web.keytab

   验证AD发送的tickets是否正确

[root@localhost ~]# kvno HTTP/webserver.example.com@EXAMPLE.COM
HTTP/webserver.example.com@EXAMPLE.COM: kvno = 4
[root@localhost ~]# klist -e
Ticket cache: KEYRING:persistent:0:0
Default principal: client2@EXAMPLE.COM

Valid starting       Expires              Service principal
03/19/2019 12:09:23  03/19/2019 22:00:00  HTTP/webserver.example.com@EXAMPLE.COM
        renew until 03/26/2019 11:59:44, Etype (skey, tkt): arcfour-hmac, arcfour-hmac
03/19/2019 12:00:00  03/19/2019 22:00:00  krbtgt/EXAMPLE.COM@EXAMPLE.COM
        renew until 03/26/2019 11:59:44, Etype (skey, tkt): aes256-cts-hmac-sha1-96, aes256-cts-hmac-sha1-96

[root@localhost ~]# klist -e -k -t /etc/web.keytab
Keytab name: FILE:/etc/web.keytab
KVNO Timestamp           Principal
---- ------------------- ------------------------------------------------------
   4 01/01/1970 08:00:00 HTTP/webserver.example.com@EXAMPLE.COM (arcfour-hmac)

7、配置apache的mod_auth_kerb

    我是用yum安装的mod_auth_kerb,在/etc/httpd/conf.modules.d/10-auth_kerb.conf会有配置文件

    需要注意的是,如果有其他的apache权限配置,比如/etc/httpd/conf/httpd.conf里面有Require all denied或者Require all granted,需要注释掉!!否则apache不会开启mod_auth_kerb的验证。可以通过修改LogLevel 值为debug,来调试看下mod_auth_kerb是否运行。

LoadModule auth_kerb_module modules/mod_auth_kerb.so
<Directory />
 AuthType Kerberos
 AuthName "Windows AD Account"
 KrbMethodNegotiate On
 KrbMethodK5Passwd Off
 KrbAuthRealms EXAMPLE.COM
 Krb5KeyTab /etc/web.keytab
 require valid-user
</Directory>

8、如果配置没问题,这个时候使用登录了域的电脑访问webserver.example.com ,会提示登录框,输入正确的域账号可以访问网站。如果想要免去输入密码需要在域服务器设置组策略。具体可以参见这篇文http://www.cnblogs.com/love007/p/4082875.html,目前可以支持ie和chrome两种浏览器自动登录,firefox好像不支持。edge经测试需要windows2016做域服务器才可以支持。

9、如何获取当前域用户?PHP可以使用$_SERVER变量获取

<?php
echo $_SERVER['REMOTE_USER']
?>

10、参考文章

http://blog.chinaunix.net/uid-11618445-id-3347394.html

CodeBus
关注
  • 4
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
AD账户自动登陆(仅限IE浏览器)Java简单实现
nangongyanya的专栏
05-13 9427
实现流程:同步账户用户名至项目数据库-》若是IE浏览器则通过ActiveXObject获取PC用户名-》根据用户名查询数据库-》存在则自动登陆 步骤1:通过定时任务同步AD账户用户名,代码如下 package com.honsto.edusys.job; import java.util.Date; import java.util.Hashtable; import javax.na
JSP中实现网站自动登录
competerH_programing的专栏
11-01 1295
JSP中实现网站自动登录 登陆的时候一旦选择了[自动登录]的选项,则需要在登陆成功后,附加下面的代码应为一般网站都提供保存用户名的功能,所以我把这个写到了外面。只有密码是单独处理的。   其中的host就是你的名。 第一步,编写login.jsp文件,内容如下:       Java代码  String host = request.getServerName();
java 用户登陆_AD账户自动登陆(仅限IE浏览器)Java简单实现
weixin_42498909的博客
02-13 1361
实现流程:同步账户用户名至项目数据库-》若是IE浏览器则通过ActiveXObject获取PC用户名-》根据用户名查询数据库-》存在则自动登陆步骤1:通过定时任务同步AD账户用户名,代码如下package com.honsto.edusys.job;import java.util.Date;import java.util.Hashtable;import javax.naming.Auth...
WEB开发使用AD用户名和密码登录
热门推荐
easyboot的专栏
02-21 1万+
jquery代码     function CheckADUser() {         var domain = "yhglobal.com"         var userName = "linyh"         var pwd = "123456"         $.post("/Order/CheckADUser", { domain: domain, user
通过组策略实现Firefox自动以当前账号登录MOSS站点---(原创)
weixin_34218890的博客
06-27 168
忘忧草原创,转发请保留本人的大名,谢谢,如果需要文档的请找我索取 前言 通过组策略实现基于ADwindows验证的sharepoint站点在火狐下自动以当前账号登录。 操作步骤-在服务器添加策略工具 我们可以通过AD组策略来管理Firefox,但需要另行下载Firefox组策略管理模板及扩展组件才可以。首先,从“http://sourceforge.net/projects/gpo...
ASP.Net 自动登录AD自动登录
YYH1992的博客
04-24 874
  在ASP.Net程序中实现自动登录,需要以下几个步骤: 第一:   IIS中取消“启用匿名访问”,启用“集成Windows身份验证”。 第二:   配置web.config,加入以下标记元素: <system.web> <authentication mode="Windows" /> <identity impersona...
通过组策略实现IE自动以当前账号登录某站点
weixin_34341229的博客
11-21 562
SharePoint基于windows验证的如何通过组策略实现IE自动以当前账号登录某站点 1. 在运行中运行MMC,启动“组策略对象编辑器”。 如下图: 2.找到组策略,如下图: 3.找到对应的,如下图: 4.点右键编辑: 5.在【计算机配置】-【管理模板】-【windows组件】-【Internet Explorer】-Internet控制面板-安全页中。然后...
AD登录实现
09-02
系统集成中关于实现AD登录的代码,方便调用,在企业级开发中经常用到的
html浏览器获取账号密码,Firefox/chrome等FTP内权限限制不严 可通过XSS遍历网站目录并获取源码...
weixin_28756021的博客
06-09 611
2013-06-01 15:20浏览器在FTP内的CSRF问题,虽然遵守了同源策略,但不代表解决了所有问题。“可通过XSS遍历网站目录并获取源码”的环境要求有些苛刻,理论意义大于实际意义。详细说明:只在IE9、firefox、chrome上做了测试,除IE之外,其他都同通过。首先明确一点,浏览器在任意协议下,不论是http(s)、File还是FTP、UNC、MHTML、Jar协议,遇到html扩...
如何以windows身份验证登录web系统
不会游泳的鱼
05-26 2396
1。首先从http://jcifs.samba.org 这个站点下载 jcifs-1.3.2.jar包。2。把这个包放到相应的lib文件下面。3。对web.xml文件进行配置,添加如下内容    NtlmHttpFilter    jcifs.http.NtlmHttpFilter                jcifs.http.domainController      
Windows_AD配置.doc
07-07
首先,让我们探讨一下为什么需要Windows AD。在工作组模式下,每台计算机都是独立管理的,这意味着每个服务器都需要单独创建并管理用户账户,当网络规模扩大,这样的管理方式变得极其低效和复杂。比如在一个拥有...
AD账号解锁工具
01-21
1. **账号查看**:工具能够显示所有AD内的用户账号信息,包括账号状态、用户名、所属组织单位(OU)等,以便管理员了解哪些账号当前处于锁定状态。 2. **解锁账号**:当发现账号被锁定时,管理员可以直接通过工具...
SANGFOR-AC&SG-v11.0-2016年度渠道高级认证培训05-AD单点登录-脚本方式单点登录.doc
11-26
3. **组策略配置**:在AD控制器上创建并下发组策略对象(GPO),将Logon2.0脚本设置为启动项,确保用户登录自动执行脚本。 4. **测试与验证**:确保所有配置完成后,进行测试以验证单点登录功能是否正常工作。...
SANGFOR_AC&SG_v6.0_2015年度渠道高级认证培训05_AD单点登录__脚本方式单点登录.doc
06-18
AD环境中,用户通常需要分别登录和深信服设备,而Logon2.0则实现了用户在登录AD自动登录到深信服设备的功能,简化了登录流程。 ### 新增功能 1. **常驻内存功能**:Logon2.0默认启用常驻内存模式,...
Cognos配置AD验证[整理].pdf
10-11
接着,通过修改计算机属性,将计算机加入到AD中,这样用户可以通过账户登录计算机。 如果Cognos部署在同一台服务器上,并且使用本地AD,那么这些步骤可能不需要。但如果是远程AD,就需要进行以下配置: 1. **...
web获取当前计算机信息,【渗透】获取环境内用户登录信息
weixin_35582180的博客
07-26 1196
之前见到有人在讨论内用户在内的机器ip怎么查呢,集思广益,结合答复及自己的观点,总结了以下内容。0x00 adfind有时候管理员会设置用户只可以登录指定的的内计算机,使用 adfind或者 powerview导出用户信息可以查看;12345678查看内用户详细信息:adfind.exe -h DNS_SERVER_IP -sc u:rcoil(目标用户)adfind.exe -h D...
AD获取用户AD信息
weixin_34290390的博客
07-29 1632
public static Dictionary<string, string> SearchADInfo(string adName) { string strTemp = "LDAP://xxx.xxx.com"; DirectoryEntry entry = new DirectoryEnt...
web 项目 获取客户端 账户
live801的博客
03-06 880
package com; import java.io.IOException; import java.net.InetAddress; import java.util.Enumeration; import javax.servlet.ServletException; import javax.servlet.http.HttpServlet; import javax.servlet.h...
ad服务器信息怎么获取,获取AD用户登入信息
weixin_29129919的博客
08-04 2483
获取AD用户登入信息详细记录AD用户登入过哪些终端电脑1:Dim conSet objSysInfo = CreateObject("ADSystemInfo")strUser = objSysInfo.UserNameSet objUser = GetObject("LDAP://" & strUser)UserName = objUser.sAMAccountNamedisplayN...
springsecurity集成AD账号登录
最新发布
07-27
要将Spring Security与AD账号集成,可以按照以下步骤进行操作: 1. 添加所需的依赖:在项目的pom.xml文件中添加Spring Security和LDAP相关的依赖。例如: ```xml <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-data-ldap</artifactId> </dependency> ``` 2. 配置LDAP连接:在application.properties(或application.yml)文件中配置LDAP连接信息。例如: ```properties spring.ldap.urls=ldap://your-ad-server-url spring.ldap.username=your-ldap-username spring.ldap.password=your-ldap-password ***
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值