beevizz Geschrieben 18. März 2009 Teilen Geschrieben 18. März 2009 Hallo zusammen, hat jemand Erfahrung mit der "Windows NTLM LDAP Auto Auth"-Extension des MediaWikis? Das hier ist der interessante Teil der Extension, bzw. der Teil, bei welchem ich momentan hänge... ## Windows Global Catalog Server $wgWinLDAPGCServer = "gcserver.test.com"; ## PHP SERVER VAR which contains the authenticated IIS user id TESTDOMAIN\TESTUSER $wgWinLDAPGCServerValue = $_SERVER['REMOTE_USER']; ## Read only user account which can access the windows AD. Windows does not support anonymous logins by default. $wgWinLDAPBindUser = "<domain>\\<domain user>"; $wgWinLDAPBindPassword = "<password>"; ## Base of searches. Use the base of your forest / domain. $wgWinLDAPForestRoot = "dc=test,dc=com"; ## Map LDAP groups to wiki groups user accounts must be a member of the following groups $wgWinLDAPGroupMapExternal = array("CN=Wiki SysOp,OU=_Managed WIKI Groups,DC=test,DC=com","CN=Wiki Bureaucrat,OU=_Managed WIKI Groups,DC=test,DC=com","CN=Wiki User,OU=_Managed WIKI Groups,DC=test,DC=com","CN=Wiki Restricted,OU=_Managed WIKI Groups,DC=test,DC=com"); $wgWinLDAPGroupMapInternal = array("sysop","bureaucrat","user","wiki restricted"); ## Enable TLS security $wgWinLDAPUseTLS = false; ## Enable nested group searching, may delay login. $wgWinLDAPGroupNested = true; ## Debug $wgWinLDAPDebug = true; $wgWinLDAPDebugLogFile = "c:/inetpub/temp/ldap_debug.txt"; Das MediaWiki läuft auf dem IIS6 (W2003) mit der gewünschten MySQL-DB und dem gewünschten PHP. Soweit alles wunderbar. Grundsätzlich funktioniert es ja. Der Anspruch ist jedoch, dass das Wiki als Portal per Single Sign On genutzt wird. Jeder User soll an Hand seiner Login-Credentials von Windows direkt am Wiki authentifiziert werden. ## PHP SERVER VAR which contains the authenticated IIS user id TESTDOMAIN\TESTUSER $wgWinLDAPGCServerValue = $_SERVER['REMOTE_USER']; Hier hänge ich momentan, ändere ich $_SERVER kennt er die Variable nicht. Belasse ich sie, funktioniert das SSO nicht. Hat jemand eine Idee? Gruß, beevizz Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
lupo49 Geschrieben 18. März 2009 Teilen Geschrieben 18. März 2009 Welchen Wert besitzt denn die Variable $_SERVER['REMOTE_USER']? Und was bedeutet "ändere ich $SERVER..."? Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
beevizz Geschrieben 18. März 2009 Autor Teilen Geschrieben 18. März 2009 Eigentlich ist ja "$wgWinLDAPGCServerValue = $_SERVER['REMOTE_USER']; " gesetzt. Hier soll aber etwas geändert werden und ich weiß nicht was... Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
robotto7831a Geschrieben 18. März 2009 Teilen Geschrieben 18. März 2009 Beantworte doch bitte die Frage. Wo steht, dass Du was änderst sollst? Frank Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
beevizz Geschrieben 18. März 2009 Autor Teilen Geschrieben 18. März 2009 sorry, dadurch, dass ich ja leute angesprochen haben, die vielleicht schon erfahrungen damit gemacht haben, hab ich wahrscheinlich zu sehr an infos gespart $wgWinLDAPGCServerValue = $_SERVER['REMOTE_USER']; geändert werden soll wohl sowohl "$_Server" in den server namen ad-servers und "'REMOTE_USER'" in einen Benutzernamen mit xxx-Rechten. Was ich erst zitiert habe, ist der ganze teil des sso-plugins, wo die infos (ort, nutzer mit leserechten, zu durchsuchende ebenen...) über das ldap (in meinem fall ein MS AD) eingetragen werden sollen. und in bezug auf die zeile bekomme ich den error, die variable "_SERVER" (hier ohne das "$") sei unbekannt. Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
beevizz Geschrieben 19. März 2009 Autor Teilen Geschrieben 19. März 2009 es muss wohl nur REMOTE_USER geändert werden. Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
lupo49 Geschrieben 19. März 2009 Teilen Geschrieben 19. März 2009 $wgWinLDAPGCServerValue = $_SERVER['REMOTE_USER']; Die Variable $_SERVER['REMOTE_USER'] ist eine vorgegebene Variable von PHP. Normalerweise enthält sich den aktuell am PC angemeldeten Benutzernamen in Form von domäne.local\accountname. Wenn jetzt da aus irgendwelchen Gründen nichts drin steht, dann wird das SSO auch nicht funktionieren. Also nochmal: Welchen Wert besitzt die Variable $_SERVER['REMOTE_USER'] bzw. $wgWinLDAPGCServerValue beim Aufruf des Skriptes? Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
beevizz Geschrieben 19. März 2009 Autor Teilen Geschrieben 19. März 2009 Ich bin an der Stelle das erste mal darauf gestoßen. Später kommt es... // Submit a fake login form to authenticate the user. $username = $wgWinLDAPGCServerValue; $params = new FauxRequest(array( 'wpName' => $username, 'wpPassword' => '', 'wpDomain' => '', 'wpRemember' => '' )); hier... // Extract username and domain from specified server VAR $temp = strtolower(str_replace('\\', ':', $wgWinLDAPGCServerValue)); $pos = strpos($temp, ":"); $NTLMusername = substr($temp, $pos + 1); $NTLMdomain = substr($temp, 0, $pos); Und hier nochmal vor. Habe gestern noch länger daran gehangen und in einem Thread zu der Extension die Aussage gefunden, da müsse nichts eingetragen werden. Es schien auch weiter durchgelaufen zu sein, als vorher. Bekomme nun folgenden Error: Unexpected authentication failure. der wohl hierrauf basiert: // Authenticate user data will automatically create new users. $loginForm = new LoginForm($params); $result = $loginForm->authenticateUserData(); if ($result != LoginForm::SUCCESS) { error_log('Unexpected authentication failure.'); return; } Hier mal der Link zu der ganzen Extension: Extension:Windows NTLM LDAP Auto Auth - MediaWiki Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Amenos Geschrieben 19. März 2009 Teilen Geschrieben 19. März 2009 dann schau einfach mal was dein debug-log sagt. das sollte es ja geben. hier gabs auch mal nen thread zu nem anderen LDAP-Auth-plugin für mw (das nutze ich produktiv und klappt wunderbar). Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
beevizz Geschrieben 19. März 2009 Autor Teilen Geschrieben 19. März 2009 Dort steht nur "Debug : Connecting to GC server.domain.test.com" (natürlich mit unserem Server und Domain) Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Amenos Geschrieben 19. März 2009 Teilen Geschrieben 19. März 2009 und weiter geht er nicht? kein connection success oder sowas? Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
beevizz Geschrieben 24. März 2009 Autor Teilen Geschrieben 24. März 2009 nein, leider nichts weiter. daher habe ich die sache mit mediawiki auch drangegeben und dekiwiki benutzt. klappt einwandfrei! Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Amenos Geschrieben 25. März 2009 Teilen Geschrieben 25. März 2009 das klappt auch in mw - ich sehs bei mir seit nem jahr ist aber sicher ne rumtesterei mit der syntax - mehr nicht aber wenns auf anderem wege klappt ists ja auch nich schlecht Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Empfohlene Beiträge
Dein Kommentar
Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.