я отвечу суда, мало ли - может еще кто подключится
Сервер ОС - Win2k3 SP2 c доп утилитами... чет забыл как называются... где ktpass setspn и т.д.
настройки по дефолту все..
собственно задача такова
в моделируемой сети поднять домен контроллер и две тестовые машины, а также апачи сервер под линукс, на котором должна быть NTLM авторизация
собственно вариантов решения много.. и все уже попробовал, однако у всех есть существенный недостаток! ОНИ ВСЕ НЕ РАБОТАЮТ в Windows Vista, т.к. NTLMv1 там просто нет (или отключен не помню, но суть в том, что ни один модуль для апачи, который не понимает NTLMv2 не подходит).. поэтому лучшим вариантом был выбран mod_auth_kerb, который собственно работает с домен контроллером по Kerberos и на содержание ключа ему насрать, он его форвардит на сервак, если сервак его выдавал, то он его и поймет))
вобщем апачи сервер с настроенным mod_auth_kerb и всеми делами... все работает так, как я описал выше.. только с админской машины и только под пользователем Administrator, другой юзер, который так же стоит в группе Administrators такой возможности с этой машины не имеет... и на других клиентских машинах авторизоваться не получается, но тот факт, что хотя бы в одном случае все работает, говорит о том, что сервис более менее корректно настроен и работает (на линуксе и впринципе от него ничего не зависит) я отследил все снифером... коннект происходит верно.. ключик от ИЕ передается апачу, тот его форвардит обратно на домен контроллер тот его аппрувит и возвращает в апач, а апач в свою очередь открывает /index.html - все окей, но как я описал выше.. работает только на ОДНОЙ МАШИНЕ и с ОДНОЙ УЧЕТКОЙ
в силу того что я не AD-админ.. просто не знаю куда копать...
по настройке
был установлен AD-сервер, добавлен юзер (так же добавил его в грцппы Administrators и Domain Admins, просто потому что надеялся что хоть так у него будт какие-нибудь права правильные и все будет работать так же как у пользоватля Administrator - фиг)
далее, с помощью ktpass и setspn были сделаны два кейтаб файла для авторизации по керберос протоколу (предварительно были созданы два пользователя host_www и http_www соответственно для kinit в линуксе и для mod_auth_kerb на апаче, естественно эти файлы были настроены на линуксе как надо, о чем можно убедиться в случае с корректной авторизацией)
ну собственно все...