Может быть. Ничего страшного в этом не вижу. А Линухи-Юнихи и браузеры кроме ИЕ будут с ним дружить?[/html]
firefox дружит с ntlm и нормально, только надо сайт добавить в специальный параметр, в поисковиках на эту тему много инфы. Что касается кербероса рабоет стабильно но если закрыл браузер пароль нужно по новой вводить. ntlm установленный на nix работает стабильно только с IE проверено на собственном опыте. поэтому если браузеры разные пользуйте керберос.
в http.conf AuthName NTAuth AuthType NTLM NTLMAuth On NTLMAuthoritative Off NTLMDomain DC.RU NTLMServer vld-dc-1.dc.ru NTLMLockfile /tmp/_my.lck NTLMBackup vld-dc-2.dc.ru ############################## KERBEROS #KrbMethodK4Passwd off #kerberos 4 dont use #KrbAuthoritative On #AuthName "Kerberos Login" #AuthType Kerberos #Krb5Keytab /usr/local/proxy/conf/http.keytab #KrbServiceName "HTTP/host.dc.ru@dc.RU" #KrbAuthRealm dc.RU #KrbMethodNegotiate On #KrbDelegateBasic On #KrbSaveCredentials On #KrbVerifyKDC Off ########################## END KERBEROS ############################## LDAP AuthzLDAPAuthoritative On ## for kerberos userPrincipalName, for ntlm sAMAccountName AuthLDAPURL "ldap://ip:389/DC=DC,DC=RU?sAMAccountName?sub?(objectClass=*)" NONE #AuthLDAPURL "ldap://ip:389/DC=DC,DC=RU?userPrincipalName?sub?(objectClass=*)" NONE AuthLDAPBindDN "CN=host,OU=Support,OU=Organization Structure,DC=dc,DC=ru" AuthLDAPBindPassword **** AuthLDAPGroupAttributeIsDN on AuthLDAPGroupAttribute member #Require valid-user Require ldap-group CN=Access Group - Unix Systems,OU=Unix Groups,OU=Consolidated Groups,OU=Organization Structure,DC=dc,DC=ru ########################## END LDAP PS пишите dc БОЛЬШИМИ БУКВАМИ
в krb5.conf [logging] default = FILE:/var/log/krb5libs.log kdc = FILE:/var/log/krb5kdc.log krb = SYSLOG:INFOAEMON krb = FILE:/usr/local/proxy/logs/krb.log admin_server = FILE:/var/log/kadmind.log [libdefaults] ticket_lifetime = 24000 default_realm = DC.RU dns_lookup_realm = false dns_lookup_kdc = false [realms] DC.RU = { kdc = vld-dc-1.DC.RU kdc = vld-dc-2.DC.RU admin_server = vld-dc-1.DC.RU default_domain = DC.RU } [domain_realm] .dc.ru = DC.RU dc.ru = DC.RU [appdefaults] pam = { debug = false ticket_lifetime = 36000 renew_lifetime = 36000 forwardable = true krb4_convert = false } #[kdc] # profile = /var/kerberos/krb5kdc/kdc.conf
в ldap.conf # # LDAP Defaults # # See ldap.conf(5) for details # This file should be world readable but not world writable. #BASE dc=example, dc=com #URI ldap://ldap.example.com ldap://ldap-master.example.com:666 #SIZELIMIT 12 #TIMELIMIT 15 #DEREF never BASE DC=DC,DC=RU URI ldap://ip REFERRALS off searchmode:OS ldapservers:ip binddn:CN=host,CN=Users,DC=DC,DC=RU bindpwd:*** userbasedn:CN=Users,DC=DC,DC=RU
По конфигам ничего не понятно. Как она все работает то? Кто кому что передает и откуда он это берет? В двух словах хотя бы или если совсем влом писать, дайте ссылочку где почитать. керберос, естественно, интересует. потому как НТЛМ больно капризный. кому он такой нужен.
http://leo-fender.narod.ru/sunphpapache.html только смотри на другой системе настройки параметров компиляции другие а так все остальное в принципе можно оставлять.