禅道域认证插件,aguu分享!

2010-12-08 20:44:57
aguu
转贴
8415

非常感谢aguu的分享!

注:此插件用在1.3版本下的,1.4还没有升级,需要手工合并代码后再试,如果禅道能改进下,提供个更便利的插件就好了。

说明:1.管理员要手动添加域用户,我们是直接输入用户拼音(域登录名屏蔽域名)并设置默认密码
   2.域用户打开页面,看不到登陆欢迎界面直接进入系统,系统无退出选项,由于admin没有关联域,此账号废弃

禅道域认证修改说明

一、在Apache中增加域认证扩展:mod_auth_sspi.so
1.将该文件放置在Apache的modules目录下

2.修改Apache的配置文件httpd.conf,在LoadModule vhost_alias_module modules/mod_vhost_alias.so 的下面增加:
#域认证模块
LoadModule sspi_auth_module modules/mod_auth_sspi.so

3.修改Apache的配置文件httpd.conf,将zendao站点的相关配置
原为:
Alias /zentao "C:/zentao/home/zentao/www/"
<Directory "C:/zentao/home/zentao/www/">
Options Indexes Includes
AllowOverride All
Order allow,deny
Allow from all
</Directory>

修改后:
Alias /zentao "C:/zentao/home/zentao/www/"
<Directory "C:/zentao/home/zentao/www/">
#认证对话框提示信息
AuthName "ZyXEL VOIP"
#SSPI表示使用域验证
AuthType SSPI
SSPIAuth On
SSPIAuthoritative On
#指定Windows域。ZYCN是我们公司Windows域,请对照修改
SSPIDomain ZYCN.ROOT.CORP
#省略用户id前的域名部分,需要注意的是如果这个选项打开,
#那么access.conf里面的用户id也不能带域名,
#如果这个选项关闭,那么用户id就需要带域名。此外,这个选项影响到Apache的log。
#这里有一个技巧就是如果你不能确定你所处的域,你可以将此选项置为off,
#然后尝试从Web登陆,查看Apache的error.log,可以发现log会自动给用户id加上现处的域,
#这样就可以确定自己所处的域SSPIDomain.
SSPIOmitDomain on
# 是否允许非IE客户端(必须打开)
SSPIOfferBasic On
# 关闭几本验证方式,如果需要多重验证可以打开。
SSPIBasicPreferred Off
# 用户名大小写,由于目录访问权限控制文件AuthzSVNAccessFile,
#也就是access.conf里的用户id用大小写敏感,而在Windows的世界里大小写是一致的。
#所以我们有必要统一大小写规范。当这个选项设置为lower时,
#你必须把access.conf里的用户id也统一设置为小写,否则验证将会失败。
#SSPIUsernameCase lower
# 用户必须通过认证,就是要求所有用户必须通过验证才能登陆SVN.
#至于Require group “ZYCN\wx-sw1″组验证问题稍候再谈。
Require valid-user
Options Indexes Includes
AllowOverride All
Order allow,deny
Allow from all
</Directory>

二、修改Zentao相关代码
1.增加域认证功能,在zentao\home\zentao\www\index.php的error_reporting(0);之后增加以下代码
$headers = apache_request_headers();
if (!isset($headers['Authorization'])) {
header('HTTP/1.1 401 Unauthorized');
header('WWW-Authenticate: NTLM');
exit;
}

$auth = $headers['Authorization'];
if (substr($auth, 0, 5) == 'NTLM ') {
$msg = base64_decode(substr($auth, 5));
if (substr($msg, 0, 8) != "NTLMSSP\x00")
die('error header not recognised');

if ($msg[8] == "\x01") {
$msg2 = "NTLMSSP\x00\x02\x00\x00\x00" .
"\x00\x00\x00\x00" . // target name len/alloc
"\x00\x00\x00\x00" . // target name offset
"\x01\x02\x81\x00" . // flags
"\x00\x00\x00\x00\x00\x00\x00\x00" . // challenge
"\x00\x00\x00\x00\x00\x00\x00\x00" . // context
"\x00\x00\x00\x00\x00\x00\x00\x00"; // target info len/alloc/offset

header('HTTP/1.1 401 Unauthorized');
header('WWW-Authenticate: NTLM ' . trim(base64_encode($msg2)));
exit;
}
else if ($msg[8] == "\x03") {
function get_msg_str($msg, $start, $unicode = true) {
$len = (ord($msg[$start + 1]) * 256) + ord($msg[$start]);
$off = (ord($msg[$start + 5]) * 256) + ord($msg[$start + 4]);
if ($unicode)
return str_replace("\0", '', substr($msg, $off, $len));
else
return substr($msg, $off, $len);
}

$user_domain = get_msg_str($msg, 36);
// $domain = get_msg_str($msg, 28);
// $workstation = get_msg_str($msg, 44);
if ($user_domain == '') {
header('HTTP/1.1 401 Unauthorized');
header('WWW-Authenticate: NTLM ' . trim(base64_encode($msg2)));
exit;
}
$_SERVER['PHP_AUTH_USER']=$user_domain;
$_SERVER['PHP_AUTH_PW']=$user_domain;
}
}

2.取消对密码的验证,修改zentao\home\zentao\module\user\model.php,修改后的代码见附件
注释以下代码
->andWhere('password')->eq(md5($password))

3.关闭登出功能,修改zentao\home\zentao\module\user\control.php
注释以下代码
$this->loadModel('action')->create('user', $this->app->user->id, 'logout');
session_destroy();
$vars = !empty($referer) ? "referer=$referer" : '';
$this->locate($this->createLink('user', 'login', $vars));

4.屏蔽登出功能,修改zentao\home\zentao\module\common\control.php
注释以下代码
echo html::a(helper::createLink('user', 'logout'), $lang->logout);

修改后的代码和文件参见附件。
下载提示

我们的下载服务由友情赞助,感谢七牛云的流量支持。

禅道使用问题交流,请先加 官方QQ: 说明来意后由群主邀请入群。

获取技术支持注意事项:http://www.xhtours.com/book/zentaopmshelp/70.html

欢迎关注我们的微博微信。

新浪微博:易软天创

微信公众号:易软天创

评论列表
yasong 2012-04-09 21:23:53
感谢! IIS服务器 $headers = apache_request_headers(); 这部分如何修改? 谢谢!
ciogao 2012-04-09 15:41:32
这是对新增域的操作吧。如何对现有域拼接,以实现域用户的登录与关联?
haha1 2011-07-30 22:50:30
非常好,功德无量,赞一个
aguu 2011-06-29 18:51:46
回:ztzc:
1.这个修改仅适用于1.3和1.4版本,由于1.5版本源代码修改较多,最好看下代码再修改,照搬代码已经不适用了。
2.暂时没有批量添加域用户的功能,不过应该可以从数据库层面操作的
ztzc 2011-06-24 11:11:10
在2.0版本上试了一下,结果打开禅道页面的时候不出现登陆页面,直接弹出错误提示:登录失败,请检查您的用户名或密码是否填写正确。
“说明:1.管理员要手动添加域用户,我们是直接输入用户拼音(域登录名屏蔽域名)并设置默认密码

请问如何手动添加域用户呢?可以批量处理吗?
cheyl 2010-12-08 21:35:55
非常好,功德无量,赞一个!
1/1
发表评论
评论通过审核后显示。
文章分类
联系我们

联系人:魏先生

电话:18561939726

Email:weizhongxian@cnezsoft.com

QQ:1746749398

地址:青岛开发区武夷山路167号千禧龙花园 9-1-101室

联系人:杨文斌

电话:17663906485

Email:yangwenbin@cnezsoft.com

QQ:1481227768

地址:青岛开发区武夷山路167号千禧龙花园 9-1-101室

联系人:毕女士

电话:13165056632

Email:bixiaomin@cnezsoft.com

QQ:3137772959

地址:青岛开发区武夷山路167号千禧龙花园 9-1-101室

联系人:杨苗

电话:13165050229

Email:yangmiao@cnezsoft.com

QQ:3142565561

地址:青岛开发区武夷山路167号千禧龙花园 9-1-101室