Tach!

[...] über den IIS einen PHP Server aufgesetzt [...] Authentifizierung direkt über Domänenaccount (AD) geregelt [...]
Wie kann man sinnvoll die Credentials eines Users zurücksetzen bzw. wechseln?

An Windows ummelden wenn du den IE verwendest oder Firefox neustarten. Der IE nimmt automatisch bei NTLM-Authentifizierung die Anmeldedaten vom aktuellen Benutzer.

Aktuell versuche ich in PHP über einen header den Fehler 401 auszulösen (Unauthorized) und danach ein redirect zu bekommen. 401 setzt die Credentials offenbar zurück, wenn ich den Fehler aber im header auslöse kommt es zu einer endlosschleife.

Der IIS wird weiterhin dem Client erzählen, dass der NTLM machen soll. Der versucht mit den bekannten Daten die Anmeldung. Da HTTP-Authentication keine Anmeldung ist, gibt es auch keinen vorgesehenen Weg der Abmeldung. Alles andere ist irgendwie Bastelei.

Ich hab mir zwei Wege ausgedacht, aber beide sind vermutlich Holzwege. Der erste wäre, in der PHP-Applikation über ein Formular ein Wechseln vorzusehen. Das wird vermutlich scheitern, weil die PHP-Anwendung die Credentials gegen das AD prüfen muss und ich mir vorstellen kann, dass da weder PHP noch das AD nicht richtig mitspielen werden.

Der andere wäre, ein weiteres virtuelles Directory zu erstellen, in dem du nicht NTLM sondern Basic Authentication konfigurierst. Wenn jemand eine andere Kennung nehmen will, musst du ihn dorthin senden. Wobei du auch hier wieder das Problem haben wirst, dass die Basic Auth nicht "von selbst" gegen das AD läuft, wie es bei NTLM der Fall ist.

dedlfix.