Мне нужна проверка подлинности NTLM, чтобы получить имя пользователя Windows, которое отлично работает с моей текущей функцией.
Единственная проблема, с которой я сталкиваюсь — это ту же страницу трижды что делает мой журнал доступа неудобным для управления (всплывает на графике трафика), поэтому, прежде чем объяснить им то же самое, я хотел убедиться, есть ли какой-либо другой способ получения данных сеанса Windows (имя пользователя).
Ниже приведен текущий код.
function getSysId() {
$headers = apache_request_headers();
if (!isset($headers['Authorization'])) {
header('HTTP/1.1 401 Unauthorized');
header('WWW-Authenticate: NTLM');
exit;
}
$auth = $headers['Authorization'];
if (substr($auth, 0, 5) == 'NTLM ') {
$msg = base64_decode(substr($auth, 5));
if (substr($msg, 0, 8) != "NTLMSSP\x00")
return '';
if ($msg[8] == "\x01") {
$msg2 = "NTLMSSP\x00\x02\x00\x00\x00" .
"\x00\x00\x00\x00" . // target name len/alloc
"\x00\x00\x00\x00" . // target name offset
"\x01\x02\x81\x00" . // flags
"\x00\x00\x00\x00\x00\x00\x00\x00" . // challenge
"\x00\x00\x00\x00\x00\x00\x00\x00" . // context
"\x00\x00\x00\x00\x00\x00\x00\x00"; // target info len/alloc/offset
header('HTTP/1.1 401 Unauthorized');
header('WWW-Authenticate: NTLM ' . trim(base64_encode($msg2)));
exit;
} else if ($msg[8] == "\x03") {
function get_msg_str1($msg, $start, $unicode = true) {
$len = (ord($msg[$start + 1]) * 256) + ord($msg[$start]);
$off = (ord($msg[$start + 5]) * 256) + ord($msg[$start + 4]);
if ($unicode)
return str_replace("\0", '', substr($msg, $off, $len));
else
return substr($msg, $off, $len);
}
$user = get_msg_str1($msg, 36);
return $user;
}
}
return false;
}
Протокол NTLM требует два запроса для аутентификации HTTP-клиент. Это означает, что вы получите как минимум 2 запроса. Если у вас есть еще один запрос, это потому, что клиент сначала запрашивает ресурс без заголовка аутентификации, и это приемлемое поведение.
Если клиент запрашивает несколько ресурсов, вы можете использовать HTTP Keep-Alive, чтобы сохранить соединение открытым, и все дальнейшие запросы должны быть уже аутентифицированы.
Вместо использования всего журнала доступа, вы можете, как и Apache% u поле, зарегистрируйте имя пользователя в журнале и делайте ваши отчеты только с журналами, которые имеют поле имени пользователя, которое не является пустым.
Других решений пока нет …