Дима, спасибо!
Ты прав. В принципе можно обойтись Керберосом (не забывая на кронтаб повесить обновление тикетов). Но на площадке он был, мягко говоря, «прикрыт», и да, модуль староват.
A модуль SSPI вроде только для виндового апача есть?..
Согласен, однако иначе было не выкрутиться (ну или не получилось) – серьёзная компания, серьёзная безопасность, все гайки закручены «по самое не хочу», требование невмешательства в MS-инфраструктуру и много прочих ограничений, в т.ч. сетевых.
Копания с прочими Апачевыми mod_* результата не дали, в лучшем случае получилось аутентифицироваться, но опять-таки с появлением дополнительного окошка ввода логина-пароля. А требование было однозначное – юзер входит в Windows под доменным аккаунтом, и более нигде никогда и никто никаких credentials у него не спрашивает.
Ты прав. В принципе можно обойтись Керберосом (не забывая на кронтаб повесить обновление тикетов). Но на площадке он был, мягко говоря, «прикрыт», и да, модуль староват.
A модуль SSPI вроде только для виндового апача есть?..
Копания с прочими Апачевыми mod_* результата не дали, в лучшем случае получилось аутентифицироваться, но опять-таки с появлением дополнительного окошка ввода логина-пароля. А требование было однозначное – юзер входит в Windows под доменным аккаунтом, и более нигде никогда и никто никаких credentials у него не спрашивает.
SAML SSO – согласен.