[vadimiron]

А что такое аутентификация пользователей из домена???

[Vlad Drakula]

m2001
может вы перефразируете свой вопрос?

[m2001]

сорри, некорректно спросил.
Имелась ввиду аутентификация пользователей в виндошном домене.
Есть домен на виндовой машине и есть web-сервер apache + PHP 4.3.11.
Надо чтоб при входе на сайт проверяло логин и пароль в домене, если есть такой пользователь, то впускало, если нет - значит нет.
На просторах инета нашел модуль под apache mod_ntlm. Вроде разобрался с настройкой, но появился еще вопрос: можно ли с помощью его получить полные данные о пользователе в домене?

[Vlad Drakula]

m2001
ничего не понял...
т.е. понял но не очень...
(ну не очень хорошо у мея с понятием виндовых сетей...)

если я правильно понял то вы хотите чтобы веб сервер запрашивал имя и пароль у другово компа средствами винды и что-бы это было скрыто и прозрачно... чтобы никто этого и не замечал?

[m2001]

to Vlad Drakula: вообщем надо было сделать доступ на страницу сайта под поролем, а логины и пароли проверялись в виндошном домене. Т.е. в окошке авторизации пользователь вводит логин/пароль под которым он сидит в домене, и после проверки его впускает.

Вопрос решен установкой модуля под апач mod_ntlm.

Теперь есть другой вопрос: может кто скинет небольшой пример как можно с помощью PHP получить данные учетной записи пользователя из Active Directory ???

[Vlad Drakula]

m2001
честно говря не знаю...
я бы на твоем месте посмотрел какое API предоставляет mod_ntlm а потом посмотрел как использовать API веб сервера из PHP.

[archy]

m2001
Это тебе к ldap надо обратиться, вполне возможно на основе php_ldap есть модуль для работы непосредственно с AD, гугль даст ответ

[m2001]

to Vlad Drakula: Виндовый домен и web-сервер на разных компьютерах. Самое подходящее что смог найти это mod_ntlm.

to archy: Я так и понял. Для php есть модуль php_ldap, вот теперь надо в нем разобраться.

Мот кто подскажет, есть ли уже реализация каких-нибудь классов для работы с ldap в PEAR ?

[E-mail]

При помощи LDAP Functions можно вытащить из Active Directory различные данные (имя пользователя, группы, объекты), но как сделать авторизацию?

Модуль апача умеет ходить в LDAP. LDAP умеет ходить в AD. Поэтому делаем папку, которую закрываем .htaccess, который требует HTTP-авторизации с доменными логином и паролем через этот mod_чего-то-там.

Теперь как избавиться от HTTP Auth, и заменить её на forms auth: когда в форме в php вводят логин-пароль, то мы делаем через PEAR::HTTP_Request запрос к папке с HTTP-авторизацией.

Вуаля!