Авторизация по NTLM или проверка статуса учетки в AD
Добавлено: 04 сен 2019, 11:27
Здравствуйте!
Было бы прекрасно реализовать авторизацию в CRM не только по LDAP, но и по NTLM. Насколько я помню, какие-то плагины для PHP на эту тему существует. По крайней мере, это реализовано в DocuWiki. Причем речь даже не о сквозной авторизации, бог с ней, а именно о проверке статуса пользователя в AD и принятия решения скриптом о допуске/недопуске.
Зачем?
Обычно пользователь корп. сети на базе Windows AD регистрируется в целой пачке сервисов и систем, начиная от, конечно, контроллера домена, на принтерах, в CRM, в1С, в СКУД, на корпоративном сайте (если не развернуты службы федерации) и так далее, тому подобное. Увы, далеко не все системы плотно интегрированы с авторизацией по Kerberos через AD, и при увольнении человека (а это, как известно, щекотливый момент) нужно помимо его блокировки на контроллере Windows-домена, повыкидывать отовсюду. И даже при наличии строгой последовательной инструкции бывает так, что что-то пропустили.
И если, скажем, с принтера забыть удалить запись - не страшно, то вот CRM, в котором содержатся очень чувствительные для бизнеса записи, забыть убрать пользователя - стрёмно. А мы все люди-человеки.
Если бы была реализована проверка в AD, активна учетка или нет, то достаточно просто заблокировать учетную запись на контроллере, чтобы увольняющийся человек не смог далее входить в CRM.
Да и вообще это признак крутого корпоративного продукта
Спасибо!
Было бы прекрасно реализовать авторизацию в CRM не только по LDAP, но и по NTLM. Насколько я помню, какие-то плагины для PHP на эту тему существует. По крайней мере, это реализовано в DocuWiki. Причем речь даже не о сквозной авторизации, бог с ней, а именно о проверке статуса пользователя в AD и принятия решения скриптом о допуске/недопуске.
Зачем?
Обычно пользователь корп. сети на базе Windows AD регистрируется в целой пачке сервисов и систем, начиная от, конечно, контроллера домена, на принтерах, в CRM, в1С, в СКУД, на корпоративном сайте (если не развернуты службы федерации) и так далее, тому подобное. Увы, далеко не все системы плотно интегрированы с авторизацией по Kerberos через AD, и при увольнении человека (а это, как известно, щекотливый момент) нужно помимо его блокировки на контроллере Windows-домена, повыкидывать отовсюду. И даже при наличии строгой последовательной инструкции бывает так, что что-то пропустили.
И если, скажем, с принтера забыть удалить запись - не страшно, то вот CRM, в котором содержатся очень чувствительные для бизнеса записи, забыть убрать пользователя - стрёмно. А мы все люди-человеки.
Если бы была реализована проверка в AD, активна учетка или нет, то достаточно просто заблокировать учетную запись на контроллере, чтобы увольняющийся человек не смог далее входить в CRM.
Да и вообще это признак крутого корпоративного продукта
Спасибо!