Bonjour tous,
Au boulot nous avons installé un serveur Apache sur Windows ( pas taper svp ... pas le choix) dans l'optique d'y faire tourner un site Intranet.
Celui-ci devrait utiliser une authentification NTLM, on a donc installé le mod SSPI trouvé sur sourceforge, qui a l'air correct.
Pour activer le mod, voici les lignes qu'on a rajoutées au httpd.conf, conformément à ce qu'on a trouvé dans la doc :
Code :
- # Add to your httpd.conf
- <IfModule !mod_auth_sspi.c>
- LoadModule sspi_auth_module modules/mod_auth_sspi.so
- </IfModule>
- #
- # Configuration for mod_auth_sspi
- <IfModule mod_auth_sspi.c>
- <Location /protected/>
- AuthType SSPI
- SSPIAuth On
- SSPIAuthoritative On
- SSPIDomain NOTREDOMAINE
- #SSPIServer (facultatif selon la doc)
- require valid-user
- </Location>
- </IfModule>
- # End of mod_auth_sspi.
- (...)
- <Directory "D:/www">
- Options FollowSymLinks
- AllowOverride None
- Order allow,deny
- Allow from all
- Authname "Notreauth"
- AuthType SSPI
- SSPIAuth On
- SSPIOfferbasic Off
- SSPIAuthoritative On
- SSPIBasicPreferred On
- SSPIDomain NOTREDOMAINE
- #SSPIServer
- require valid-user
- </Directory>
|
(bien entendu le www root est bien défini sur D:\www)
L'authentification NTLM fonctionne plutôt bien, et grâce à ce mod on a une nouvelle variable d'environnement sur le serveur (qu'on retrouve d'ailleurs par défaut sur les serveurs IIS mais c'est une autre histoire), accessible par exemple en php par $_SERVER['REMOTE_USER'], qui contient notamment le domaine, le user qui a la session Windows ouverte, et on arrive à afficher tout cela, super donc.
Mais à partir de là, les variables postées (via un formulaire en method='post', donc) commencent à totalement foirer.
Après quelques recherches et recoupements, on a réalisé ceci :
- Quand le browser est configuré pour utiliser notre proxy, tout va bien.
- Quand le browser est configuré pour bypasser les adresses internes, ça commence à foirer totalement ... 9 fois sur 10 la totalité des variables supposées être postées ne le sont pas. (on a essayé toutes les formes possibles via php de print_r et autres php://input). Je dis bien "9 fois sur 10", c'est-à-dire que de temps en temps eh bien ça va.
Vous me direz, ben j'ai qu'à faire passer le site par le proxy et le tour est joué. Seulement le gros souci c'est qu'il y a 2500 gugusses dans la boîte, et que le proxy doit déjà gérer toutes les requêtes Internet sortantes, il est absolument hors de question dans la config réseau actuelle de faire passer l'Intranet par le proxy lui aussi.
Ma question est donc :
Y a-t-il par chance parmi les nombreux lecteurs de HFR des admins qui ont réussi à faire tourner correctement sur Apache, un mod SSPI (ou tout autre mod qui facilite l'authentification NTLM, je suis ouvert à d'autres propositions) en bypassant un proxy tout en réussissant à faire fonctionner les variables postées correctement ?
Merci d'avance pour tout renseignement,