Php 针对Active Directory的无缝SSO身份验证

我有一个网页，我只想要一个特定的组登录

我在一所大学工作，我们使用Active Directory帐户，只有特定的组才能访问这个php页面（在apache服务器上）

我知道我可以用一些PHP代码限制访问，但我想实现无缝登录

每个人都在工作中使用IE7（配置为传递正确的凭据），并且需要登录到计算机（将其登录到域控制器）

当用户转到时，他们将自动登录，因为他们之前已登录计算机

如果用户转到，它将提示他们输入凭据

我知道我需要使用kerberos进行身份验证，使用LDAP进行授权

---

有人在无缝身份验证方面取得了成功吗？

有一些商业产品将此作为Apache模块提供，请参阅Wikipedia文章末尾的链接（例如）。我还知道一些php模块，如php_krb5:，或Apache模块，如。不过我自己从来没用过

---

至于用PHP实现协商身份验证，我在我的生活中确实用PHP实现了摘要HTTP身份验证，我也实现了Windows SSPI身份验证模块，但我从未尝试用PHP实现。虽然HTTP auth部分相当简单，但不透明的GSS-API部分令人望而生畏，即使您有一个好的GSS-API库可供使用

这是因为您需要将intranet.domain.local添加到IE中的本地intranet区域。有关详细信息，请参阅本文：