1
Kerberos
Hallo,
ich habe eine WebApp und möchte ein Single Sign On dafür schreiben, das in einem Intranet integriert ist. D.H. wenn ein Benutzer innerhalb dieses Netzwerk sich anmeldet und diese Applikation aufruft (die App ist natürlich im normalen Fall durch eine Anmeldemechanismus geschützt), brachut er nicht seine Credentials (username, password) ernaut einzugeben. Mein Problem ist dass, ich nicht viel von Netzwerken (Intranets) verstehe und wie die Administratoren die Benutzerdaten verwalten. Wie werden die meisten Intranets realiesiert, mich interessiert meistens wo werden die Benutzerdaten gespeichert (in einem Srever) aber ob diese Server Standard ist. Einbischen verwirrt bin ich weil ich viel gelesen habe, und bis jetzt weiss ich nicht was der Unterschied zwischen LDAP und Kerberos und ob noch was anderes gibt (nur für Windows ist für mich relevant). Danke für jede Anregung.
ich habe eine WebApp und möchte ein Single Sign On dafür schreiben, das in einem Intranet integriert ist. D.H. wenn ein Benutzer innerhalb dieses Netzwerk sich anmeldet und diese Applikation aufruft (die App ist natürlich im normalen Fall durch eine Anmeldemechanismus geschützt), brachut er nicht seine Credentials (username, password) ernaut einzugeben. Mein Problem ist dass, ich nicht viel von Netzwerken (Intranets) verstehe und wie die Administratoren die Benutzerdaten verwalten. Wie werden die meisten Intranets realiesiert, mich interessiert meistens wo werden die Benutzerdaten gespeichert (in einem Srever) aber ob diese Server Standard ist. Einbischen verwirrt bin ich weil ich viel gelesen habe, und bis jetzt weiss ich nicht was der Unterschied zwischen LDAP und Kerberos und ob noch was anderes gibt (nur für Windows ist für mich relevant). Danke für jede Anregung.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 87179
Url: https://administrator.de/contentid/87179
Printed on: April 23, 2024 at 09:04 o'clock
1 Comment
LDAP ist quasi das Adressbuch in dem die Benutzer stehen.
Kerberos dient zum authentifizieren und anmelden.
Der Internet Explorer kann den Benutzer mit der gegenwärtigen Windows Anmeldung bei einem Webserver anmelden. Der Firefox macht das mit den Standardeinstellungen nicht. Dazu muss der Webserver für den Login Vorgang ein Kerberos Ticket vom Browser verlangen. Der Browser übergibt die Anforderung an das Betriebssystem (Windows) und das muss sich dieses Ticket von einem Domain Controller holen. Dafür verwendet Windows das Tickt Granting Ticket aus der Domain Anmeldung und verwendet das Kerberos Protokoll um den Request (Anfrage) an den Domain Controller zu senden. Der Domain Controller prüft im ActiveDirectory / LDAP ob dieser Benutzer die Berechtigung für diese Anfrage hat, z.B. in der Gruppe entsprechenden Benutzergruppe aufgeführt ist. Der Domain Controller stellt daraufhin das Ticket für den Benutzer aus und verschlüsselt es mit dem Public Key des Websevers damit eben nur der echte Webserver diese Authentifizierung entschlüsseln kann. Der Browser überträgt dann das Ticket anstelle von Login und Passwort an den Webserver.
Wenn möglich würde ich mich auf die im IIS / Apache bereits vorhandene Authentifizierung verlassen und nicht versuchen das Rad neu zu erfinden.
Gruß Rafiki
http://de.wikipedia.org/wiki/Kerberos_(Informatik)
Kerberos dient zum authentifizieren und anmelden.
Der Internet Explorer kann den Benutzer mit der gegenwärtigen Windows Anmeldung bei einem Webserver anmelden. Der Firefox macht das mit den Standardeinstellungen nicht. Dazu muss der Webserver für den Login Vorgang ein Kerberos Ticket vom Browser verlangen. Der Browser übergibt die Anforderung an das Betriebssystem (Windows) und das muss sich dieses Ticket von einem Domain Controller holen. Dafür verwendet Windows das Tickt Granting Ticket aus der Domain Anmeldung und verwendet das Kerberos Protokoll um den Request (Anfrage) an den Domain Controller zu senden. Der Domain Controller prüft im ActiveDirectory / LDAP ob dieser Benutzer die Berechtigung für diese Anfrage hat, z.B. in der Gruppe entsprechenden Benutzergruppe aufgeführt ist. Der Domain Controller stellt daraufhin das Ticket für den Benutzer aus und verschlüsselt es mit dem Public Key des Websevers damit eben nur der echte Webserver diese Authentifizierung entschlüsseln kann. Der Browser überträgt dann das Ticket anstelle von Login und Passwort an den Webserver.
Wenn möglich würde ich mich auf die im IIS / Apache bereits vorhandene Authentifizierung verlassen und nicht versuchen das Rad neu zu erfinden.
Gruß Rafiki
http://de.wikipedia.org/wiki/Kerberos_(Informatik)
