SSO: Moodle--AD--Apache2

SSO: Moodle--AD--Apache2

от Utkin Andrey -
Количество ответов: 7

Здравствуйте. Решили попробовать сделать сквозную авторизацию. По статье Вадима https://habr.com/ru/post/200872/ скрестили с AD с помощью плагина аутентификации (настройки соответствуют статье). Система доменные настройки пользователя подхватила, в бд moodle пользователь добавляется. 

Затем решили настроить SSO: согласно мануала https://docs.moodle.org/33/en/NTLM_authentication#How_to_Turn_Integrated_Authentication_on добавили модуль к apache (видели про версию для 2.2), поправили httpd.conf, включили в настройках плагина NTML, но сквозная аутентификация не заработала. 

В чем может быть проблема? Настройки браузера? Или может сразу пробовать делать через CAS? 

ОС:Win, Браузер: или Мозила или Хром. 

Cпасибо!

Сумма оценок: -
В ответ на Utkin Andrey

Re: SSO: Moodle--AD--Apache2

от Vadim Dvorovenko -
Изображение пользователя Developers Изображение пользователя Майнтейнер перевода
CAS точно не нужен, это из другой серии. Если apache расположен не на виндовой машине, то нужно ещё настраивать samba и вводить компьютер с apache в домен
Где у вас установлен apache?
Обязательно нужно указать подсеть, в которой работает sso, для других подсетей работать не будет. Если сервер за роутером, то работать точно не будет, для ntlm нужно чтобы между клиентом и сервером не было nat. 
Сумма оценок:1 (1)
В ответ на Vadim Dvorovenko

Re: Re: SSO: Moodle--AD--Apache2

от Utkin Andrey -
Apache на Win7 (для версии 2.4 ищем решения, так как предыдущая ссылка в док moodle только для apche 2.2). Nat нет - все в одной подсети. Первые настройки по LDAP работают, но когда переходим к настройкам SSO-> выбираем NTLM -> сохраняем ->закрываем -> выполняем вход в систему под доменным пользователем и moodle все равно просит авторизироваться(.
К apache подключен модуль: mod_auth_sspi. (может для apache 2.4 необходим другой???) .
Как-то так)
Сумма оценок: -
В ответ на Utkin Andrey

Re: Re: Re: SSO: Moodle--AD--Apache2

от Vadim Tabunshchik -
Изображение пользователя Developers
>> может для apache 2.4 необходим другой???
mod_authnz_sspi http://qaru.site/questions/2230549/ntlm-authentication-on-apache-24-with-modauthnzsspi
Сумма оценок: -
В ответ на Utkin Andrey

Re: Re: Re: SSO: Moodle--AD--Apache2

от Vadim Dvorovenko -
Изображение пользователя Developers Изображение пользователя Майнтейнер перевода
Давайте последовательно отсекать проблемы. Для начала (временно) откатитесь на 2.2. Для moodle принципиальной разницы между 2.2 и 2.4 нет. Настройте там всё по инструкции и убедитесь, что на 2.2 работает. Если для 2.2 нет mod_php нужной вам версии, попробуйте через mod_fastcgi + php-fpm настроить. Таким образом можно будет отсечь все гипотезы, связанные с версией apache. В документации написано про то, что вариант из 2.2 не подходит к 2.4, возможно вариант с mod_authnz_sspi поможет
Сумма оценок: -
В ответ на Vadim Dvorovenko

Re: Re: Re: Re: SSO: Moodle--AD--Apache2

от Utkin Andrey -
Итак: с apache 2.2 в IE заработало при выставлении настроек безопасности в самом браузере. В firefox и chrome требует дополнительную аутентификацию.
с apache 2.4 c модулем mod_authnz_sspi все также (не успел попробовать на IE) для FireFox - дополнительная аутентификация. Вообще видна какая-то нестабильная работа...то пытается подключится и пишет про передачу sesskey, то сразу отвечает что Логин и Пароль не подходят.
Покопаюсь еще в настройках браузера (на форумах что нашел - не помогло), да и возможно надо все таки на реальной машине поиграть (я все на виртуалках развернул).
Сумма оценок: -