Могу ли я войти в веб-приложение автоматически, используя учетную запись пользователя Windows?

Question

В интранете на моей работе с неполным рабочим днем ​​(не связанной с ИТ) есть различные веб-приложения, которые мы используем и которые не требуют явного входа в систему. Мы должны войти в Windows, очевидно, и это затем подтверждает нам, как.

Мне интересно, как это делается? Не слишком волнуясь о безопасности, как бы я провел аутентификацию пользователя в веб-приложении, используя информацию для входа в Windows? Я бы использовал Python (и Django).

Существуют ли ограничения на то, как этого можно достичь? Например, требуется ли конкретный браузер? Должно ли приложение и серверная часть интрасети размещаться в одном месте или, по крайней мере, иметь связь? Или это просто получение учетных данных пользователя Windows и передача их в программное обеспечение для проверки подлинности веб-приложения?

Answer 1

Когда-то Internet Explorer поддерживал аутентификацию NTLM (аналогично обычной аутентификации, но отправлял на сервер кэшированные учетные данные, которые можно было проверить с помощью контроллера домена). Он использовался для включения единого входа в интрасети, где все должны были войти в домен. Я не помню деталей этого, и я не использовал это целую вечность. Это может быть вариант, если он соответствует вашим потребностям.

Может быть, у кого-то более знакомого с этим, может быть больше деталей.

См .: Схема аутентификации NTLM для HTTP

Самое сложное в использовании серверной инфраструктуры не от Microsoft - это поговорить с необходимыми службами для проверки учетных данных.

Answer 2

С здесь :

-- Added to settings.py --

### ACTIVE DIRECTORY SETTINGS

# AD_DNS_NAME should set to the AD DNS name of the domain (ie; example.com)  
# If you are not using the AD server as your DNS, it can also be set to 
# FQDN or IP of the AD server.

AD_DNS_NAME = 'example.com'
AD_LDAP_PORT = 389

AD_SEARCH_DN = 'CN=Users,dc=example,dc=com'

# This is the NT4/Samba domain name
AD_NT4_DOMAIN = 'EXAMPLE'

AD_SEARCH_FIELDS = ['mail','givenName','sn','sAMAccountName']

AD_LDAP_URL = 'ldap://%s:%s' % (AD_DNS_NAME,AD_LDAP_PORT)


-- In the auth.py file --

from django.contrib.auth.models import User
from django.conf import settings
import ldap

class ActiveDirectoryBackend:

  def authenticate(self,username=None,password=None):
    if not self.is_valid(username,password):
      return None
    try:
      user = User.objects.get(username=username)
    except User.DoesNotExist:
      l = ldap.initialize(settings.AD_LDAP_URL)
      l.simple_bind_s(username,password)
      result = l.search_ext_s(settings.AD_SEARCH_DN,ldap.SCOPE_SUBTREE, 
               "sAMAccountName=%s" % username,settings.AD_SEARCH_FIELDS)[0][1]
      l.unbind_s()

      # givenName == First Name
      if result.has_key('givenName'):
        first_name = result['givenName'][0]
      else:
        first_name = None

      # sn == Last Name (Surname)
      if result.has_key('sn'):
        last_name = result['sn'][0]
      else:
        last_name = None

      # mail == Email Address
      if result.has_key('mail'):
        email = result['mail'][0]
      else:
        email = None

      user = User(username=username,first_name=first_name,last_name=last_name,email=email)
      user.is_staff = False
      user.is_superuser = False
      user.set_password(password)
      user.save()
    return user

  def get_user(self,user_id):
    try:
      return User.objects.get(pk=user_id)
    except User.DoesNotExist:
      return None

  def is_valid (self,username=None,password=None):
    ## Disallowing null or blank string as password
    ## as per comment: http://www.djangosnippets.org/snippets/501/#c868
    if password == None or password == '':
      return False
    binddn = "%s@%s" % (username,settings.AD_NT4_DOMAIN)
    try:
      l = ldap.initialize(settings.AD_LDAP_URL)
      l.simple_bind_s(binddn,password)
      l.unbind_s()
      return True
    except ldap.LDAPError:
      return False

Answer 3

Насколько мне известно, единственный браузер, который автоматически передает ваши учетные данные, - это Internet Explorer. Чтобы включить эту функцию, выберите «Включить встроенную проверку подлинности Windows» в диалоговом окне расширенных параметров Интернета в разделе безопасности. Обычно это включено по умолчанию.

Веб-серверу необходимо удалить разрешение анонимного пользователя из веб-приложения и включить опцию проверки подлинности Windows. Просто добавьте пользователей, которым вы хотите иметь доступ к веб-приложению, к разрешениям файла / папки.

Я пробовал это только с IIS, поэтому не уверен, будет ли он работать на других веб-серверах.