linux — SSO доступ к php серверу с аутентификацией AD

На RH 5.3, Apache / 2.2.15, загружен mod_auth_kerb, Active Directory 2008, мы хотим контролировать доступ к URL-адресу с аутентифицированным пользователем члена группы AD без запроса имени пользователя / пароля.

На самом деле, мы можем контролировать доступ, но с подсказкой user / password — но мы не видим, какой параметр нужно изменить, чтобы не получить подсказку.

/etc/krb5.conf

[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log

[libdefaults]
default_realm = DOMAIN.LOCAL

#default_tkt_enctypes = RC4-HMAC,DES-CBC-CRC,DES3-CBC-SHA1,DES-CBC-MD5
#default_tgs_enctypes = RC4-HMAC,DES-CBC-CRC,DES3-CBC-SHA1,DES-CBC-MD5
#dns_lookup_realm = false
#dns_lookup_kdc = false
#ticket_lifetime = 24h
#forwardable = true
#   default_tgs_enctypes = aes256-cts-hmac-sha1-96 rc4-hmac des-cbc-crc des-cbc-md5
#   default_tkt_enctypes = aes256-cts-hmac-sha1-96 rc4-hmac des-cbc-crc des-cbc-md5
#   permitted_enctypes = aes256-cts-hmac-sha1-96 rc4-hmac des-cbc-crc des-cbc-md5[realms]
domain.local = {
kdc = MyServer.domain.local
admin_server = MyServer.domain.local
default_domain = domain.local
}

[domain_realm]
.domain.local = DOMAIN.LOCAL
domain.local = DOMAIN.LOCAL

/etc/httpd/conf/httpd.conf

<Directory /var/www/html/test_CTI/>
order deny,allow
deny from all
AuthType basic
AuthBasicProvider ldap

AuthzLDAPAuthoritative off
AuthLDAPUrl "ldap://MyServer.domain.local:3268/OU=myOU,DC=domain,DC=local?sAMAccountName?sub?(objectClass=*)"
AuthLDAPBindDN "cn=KerbPHPEXP,OU=MyOU,DC=domain,DC=local"
AuthLDAPBindPassword "PWD!"
Require ldap-group cn=G151401-DSUP,OU=myOU,DC=domain,DC=local

#  AuthType kerberos
AuthName "Authentification DSUP test "Krb5Keytab /etc/httpd/conf/kerb5.ktab
KrbAuthRealms DOMAIN.LOCAL
KrbMethodNegotiate on
KrbServiceName Any
KrbMethodK5Passwd on
satisfy any
</Directory>