Aktuellen Windows User abrufen

[Ghost108]

Hallo!

ich habe auf meiner Syno die Webstation mit Apache laufen.
Nun würde ich gerne via PHP den angemeldeten Windows Benutzer abrufen, welcher meine Seite aufruft.

Ist das möglich? Wenn ja, wie?

 

[Ghost108]

oder anders formuliert:
Wie kann ich eine Seite der , welche über die Webstation gehosted wird, via Windows Authentifizierung aufrufen?

 

[alexhell]

Das geht zum Glück nicht. Was ist, wenn ein Linux, Mac oder sonst was drauf geht...
Wenn du allerdings LDAP nutzt, dann könnte man das halt nutzen. Da gibt es bestimmt zig fertige Lösungen.

 

[Ulfhednir]

Das ging mal über ActiveX-Objekte anstelle von PHP. Das sind aber alles sicherheitskritische Technologien, die nichts in der Praxis verloren haben.
Die große Frage ist aber erstmal: Was hast du überhaupt vor? Hinter deinem Wunsch steht ein konkreter Use-Case.
Geht es hier um das Loggen von Zugriffsversuchen oder geht es dir um eine einfachere bzw. einheitliche Authentifizierung?

 

[Ghost108]

Moin! sorry, das Thema hatte ich auf Eis legen müssen und dann verpennt.
Weiter gehts:

Genau, es geht darum zu ermitteln, ob der User, welcher aktuell angemeldet ist, für diese Maske berechtig ist.
Unter Windows kann man eine Windows Authentifizierung unter IIS einrichten?

Heißt: User ruft Webseite auf und kann diese sehen oder eben nicht - je nach Berechtigung.

Und so etwas würde ich gerne auch mit der Webstation realisieren, sodass ich keinen seperaten Login programmieren muss.
Und den Windows Usernamen würde ich dann gerne verwenden um beim Absenden eines Formulars diese als Absender zu nutzen.

Aktuell nutze ich die Möglichkeit via URL:

meinedomain.de/user=Max.Mustermann

Problem hierbei. Das kann vom User problemlos abgeändert werden in

meinedomain.de/user=Sabine.Mueller und schon steht ein anderer Absendername dort = schlecht!

 

[alexhell]

Das wirst du so nicht hinbekommen. Es gibt keine Möglichkeit den User auszulesen...
Du könntest dir eine VM mit Windows installieren und dann da IIS installieren

 

[Ghost108]

hmmm genau das wollte ich vermeiden :/

Kann ich das nicht mit dem SSO Server realisieren?
https://kb.synology.com/de-de/DSM/help/SSOServer/sso_server_desc?version=7
https://global.synologydownload.com.../SSOServer/All/enu/Synology_SSO_API_Guide.pdf

 

[Ulfhednir]

Die angestrebte Lösung ist sicherheitstechnisch totaler Murks und auch nur eine Krücke. Wenn der Username unverschlüsselt in der URL übergeben wird, kann sich jeder Depp die Einsicht erschleichen. Im einfachsten Fall benötige ich lediglich deinen Benutzernamen und sehe alles.

Du solltest dich eher in Richtung SSO oder Identity Provider beschäftigen. Alternativ gibt es ja durchaus auch die Option eine einfache Basis-Authentifizierung mit vorgegebenen Benutzer+Kennwort vorzuschalten.

Und natürlich würde ich mir auch Gedanken machen, ob es nicht möglich ist, eine Software einzusetzen, welche bereits eine Authentifizierung (z.B. über LDAP) und idealerweise Gruppenrichtlinien mitbringt.