PCDVD數位科技討論區

PCDVD數位科技討論區 (https://www.pcdvd.com.tw/index.php)
-   疑難雜症區 (https://www.pcdvd.com.tw/forumdisplay.php?f=34)
-   -   不讓Apache在auth negotiation沒有可用方式時回www auth negotiation reject.... (https://www.pcdvd.com.tw/showthread.php?t=1122561)

cmwang 2017-02-16 10:28 AM
不讓Apache在auth negotiation沒有可用方式時回www auth negotiation reject....
 
有朋友知道怎麼讓Apache在auth negotiation沒有可用方式時,不要回www auth negotiate reject,只回401和Error Document的URL嗎,鵝要幫user的網站配合AD做SSO,Client沒login AD時照說沒有Kerberos ticket可給,所以client端只支援NTLM:ase....

正常狀況下server可以把browser redirect到傳統的login網頁,可是為何有時Client會發起spnego negotiation,server端拒絕後browser會fallback到basic auth,導致user會看到輸入帳密的dialog:stupefy:....

鵝試過只回401和Error Document的URL時browser的表現是符合user的須求的,問題是怎麼讓Apache在遇到client傳回negotiate/NTLM時跳過reject這段,有能人異士可以指點鵝一下嗎:cry::cry:....

twu2 2017-02-16 10:54 AM
basic auth 用不到的話, 就不要載入 mod_auth_basic.so 如何?

cmwang 2017-02-16 11:03 AM
引用:
作者twu2
basic auth 用不到的話, 就不要載入 mod_auth_basic.so 如何?


謝了,不過fallback是client端的行為(應該說http auth是個古老的協定,server端沒辦法明確定義只吃Kerberos:ase),只能丟Negotiate給client,client有login AD時會先試Kerberos,不行的話再試Negotiate/NTLM,而在client端的認知Negotiate就包括了basic auth,問題就出在這:cry::cry:....


所有的時間均為GMT +8。 現在的時間是08:32 PM.

vBulletin Version 3.0.1
powered_by_vbulletin 2025。