Apache mod SSPI : problème de POST sans proxy

Apache mod SSPI : problème de POST sans proxy - Réseaux - Systèmes & Réseaux Pro

Marsh Posté le 20-06-2007 à 16:21:21    

Bonjour tous,  
 
Au boulot nous avons installé un serveur Apache sur Windows ( :sweat: pas taper svp ... pas le choix) dans l'optique d'y faire tourner un site Intranet.
 
Celui-ci devrait utiliser une authentification NTLM, on a donc installé le mod SSPI trouvé sur sourceforge, qui a l'air correct.
 
Pour activer le mod, voici les lignes qu'on a rajoutées au httpd.conf, conformément à ce qu'on a trouvé dans la doc :
 

Code :
  1. # Add to your httpd.conf
  2. <IfModule !mod_auth_sspi.c>
  3.     LoadModule sspi_auth_module modules/mod_auth_sspi.so
  4. </IfModule>
  5. #
  6. # Configuration for mod_auth_sspi
  7. <IfModule mod_auth_sspi.c>
  8.     <Location /protected/>
  9.         AuthType SSPI
  10.         SSPIAuth On
  11.         SSPIAuthoritative On
  12.         SSPIDomain NOTREDOMAINE
  13.         #SSPIServer (facultatif selon la doc)
  14.         require valid-user
  15.     </Location>
  16. </IfModule>
  17. # End of mod_auth_sspi.
  18. (...)
  19. <Directory "D:/www">
  20.         Options FollowSymLinks
  21.         AllowOverride None
  22.         Order allow,deny
  23.         Allow from all
  24.         Authname "Notreauth"
  25.         AuthType SSPI
  26.         SSPIAuth On
  27.         SSPIOfferbasic Off
  28.         SSPIAuthoritative On
  29.         SSPIBasicPreferred On
  30.         SSPIDomain NOTREDOMAINE
  31.         #SSPIServer
  32.         require valid-user
  33. </Directory>

(bien entendu le www root est bien défini sur D:\www)
 
L'authentification NTLM fonctionne plutôt bien, et grâce à ce mod on a une nouvelle variable d'environnement sur le serveur (qu'on retrouve d'ailleurs par défaut sur les serveurs IIS mais c'est une autre histoire), accessible par exemple en php par $_SERVER['REMOTE_USER'], qui contient notamment le domaine, le user qui a la session Windows ouverte, et on arrive à afficher tout cela, super donc.
 
Mais à partir de là, les variables postées (via un formulaire en method='post', donc) commencent à totalement foirer.
 
Après quelques recherches et recoupements, on a réalisé ceci :  
 
- Quand le browser est configuré pour utiliser notre proxy, tout va bien.
- Quand le browser est configuré pour bypasser les adresses internes, ça commence à foirer totalement ... 9 fois sur 10 la totalité des variables supposées être postées ne le sont pas. (on a essayé toutes les formes possibles via php de print_r et autres php://input). Je dis bien "9 fois sur 10", c'est-à-dire que de temps en temps eh bien ça va.
 
Vous me direz, ben j'ai qu'à faire passer le site par le proxy et le tour est joué. Seulement le gros souci c'est qu'il y a 2500 gugusses dans la boîte, et que le proxy doit déjà gérer toutes les requêtes Internet sortantes, il est absolument hors de question dans la config réseau actuelle de faire passer l'Intranet par le proxy lui aussi.
 
Ma question est donc :  
 
Y a-t-il par chance parmi les nombreux lecteurs de HFR des admins qui ont réussi à faire tourner correctement sur Apache, un mod SSPI (ou tout autre mod qui facilite l'authentification NTLM, je suis ouvert à d'autres propositions) en bypassant un proxy tout en réussissant à faire fonctionner les variables postées correctement ?
 
Merci d'avance pour tout renseignement,

Reply

Marsh Posté le 20-06-2007 à 16:21:21   

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed