Tengo un sistema interno que tiene formulario de inicio de sesión con nombre de usuario y contraseña.
Pero recientemente necesitaba obtener más información sobre el usuario que intenta iniciar sesión (en caso de un intento fallido de inicio de sesión, por ejemplo).
Dado que es un sistema interno, pensé en usar la autenticación de Windows para obtener el usuario de AD que intenta iniciar sesión. Pero $_SERVER['AUTH_USER']devolvía una cadena vacía a pesar de que la autenticación de Windows estaba habilitada. Solo comenzó a mostrar al usuario cuando deshabilité la autenticación anónima (parece que habilitar ambas no obtiene las credenciales de Windows)
Todavía quiero que los usuarios ingresen sus credenciales en el formulario de inicio de sesión, pero también quiero saber el usuario real de Windows (AD) que actualmente está intentando iniciar sesión.
Desactivar completamente la autenticación anónima parece funcionar, y no la necesito, pero ahora estoy un poco confundido, aunque creo que entendí: dado que todos los usuarios ya trabajan desde una máquina con Windows, sus credenciales se pasan y es por eso que La autenticación de Windows funciona. Pero ahora me pregunto si deshabilitar completamente la autenticación anónima puede causar errores en ciertos casos y no debería deshabilitarla por completo. ¿O tal vez hay una manera de habilitar tanto la autenticación anónima como la autenticación de Windows y aún así obtener el $_SERVER['AUTH_USER']valor (y no una cadena en blanco)?
Pero también, ¿cómo verifica IIS al usuario de Windows que se conecta al sitio web? Porque si solo veo el sitio web con mi usuario no ingreso ninguna contraseña ni credencial.
Es simplemente extraño para mí que utilice la autenticación de Windows, pero conservo el formulario de inicio de sesión que parece contradecir el propósito de la autenticación de Windows. ¿O eso no es correcto y ahora básicamente tengo 2 capas de autenticaciones? Simplemente no sé cómo funciona la autenticación de Windows si no tengo nada en el código que lo maneje. Quiero decir, ¿cómo "sabe" que el usuario tiene permiso para ver el sitio web?