Mahlzeit zusammen,
ich hatte eine funktionierende Testinfrastruktur, mit einer LDAP-Anbindung und Single Sign On für Agenten und Kunden. Ich hab in meiner LDAP-Konfiguration die UID jetzt von sAMAccountName auf userPrincipalName geändert.
Bei deaktiviertem Single Sign On funktioniert LDAP wunderbar. Wenn ich Single Sign On aktiviere, funktioniert der Sync in die Datenbank nicht mehr.
Grund hierfür: In dem Modul HTTPBasicAuth.pm wird als $User die Umgebungsvariable $ENV{Remote_User} abgefragt, was beim Apache der sAMAccountName des angemeldeten AD-Benutzers ist. Hier ist es egal, ob ich mich an der Domäne mit UPN oder sAMAccountName anmelde, der sAMAccountName wird benutzt.
Meine Frage ist: Komme ich irgendwie an den UPN dran? Gibt es hierfür einen Workaround?
Ich habe mir die Umgebungsvariablen des Apache schon ins Log schreiben lassen. Der UPN wird nicht übergeben.
Dank und Grüße,
Single Sign On mit userPrincipalName
-
root
- Administrator
- Posts: 3960
- Joined: 18 Dec 2007, 12:23
- Znuny Version: Znuny and Znuny LTS
- Real Name: Roy Kaldung
- Company: Znuny
- Contact:
Re: Single Sign On mit userPrincipalName
Hi,
die Umgebungsvariable kommt ja vom Modul mod_auth_kerb, da kann man afaik nur zwischen DOMAIN\sAMAccountName und sAMAccountName unterscheiden. Wenn Du also Du unbedingt den UPN brauchst fällt mir nur ein ein eigenes Authmodul zu schreiben das aufgrund des o.g. Wertes einen Lookup im AD macht und mit dem UPN weiterarbeitet. Mir fällt aktuell nur kein Usecase ein bei dem ich so viel Aufwand betreiben würde.
- Roy
die Umgebungsvariable kommt ja vom Modul mod_auth_kerb, da kann man afaik nur zwischen DOMAIN\sAMAccountName und sAMAccountName unterscheiden. Wenn Du also Du unbedingt den UPN brauchst fällt mir nur ein ein eigenes Authmodul zu schreiben das aufgrund des o.g. Wertes einen Lookup im AD macht und mit dem UPN weiterarbeitet. Mir fällt aktuell nur kein Usecase ein bei dem ich so viel Aufwand betreiben würde.
- Roy
Znuny and Znuny LTS running on CentOS / RHEL / Debian / SLES / MySQL / PostgreSQL / Oracle / OpenLDAP / Active Directory / SSO
Use a test system - always.
Do you need professional services? Check out https://www.znuny.com/
Do you want to contribute or want to know where it goes ?
Use a test system - always.
Do you need professional services? Check out https://www.znuny.com/
Do you want to contribute or want to know where it goes ?
-
Papie
- Znuny newbie
- Posts: 8
- Joined: 28 Apr 2016, 07:48
- Znuny Version: 5.0.x-6.0.x
- Real Name: Pascal Pieterek
- Company: maxence business consulting GmbH
Re: Single Sign On mit userPrincipalName
Guten Morgen,
ich hatte mir schon so etwas gedacht. Naja kann man nichts machen. Danke für die schnelle Antwort!!
Grüße,
ich hatte mir schon so etwas gedacht. Naja kann man nichts machen. Danke für die schnelle Antwort!!
Grüße,