NGINX mit Kerberos
Hi,
kennt sich hier jemand mit erweiterter NGINX Konfiguration aus? Unser Ziel ist es einen Reverse Proxy zu bauen der eine Kerberos Pre Authentifikation macht. Der reine Reverse Proxy läuft schon.
Ziel:
- User gibt ein "webmail.name.de"
- Ein Popup geht auf wo er seine Userdaten (User, PW, keine Domäne!) eingeben soll
- NGINX macht die Authentifikation per Kerberos
- User kommt direkt zur Webmail Oberfläche in sein Postfach
Kerberos und Webmail sind Windows Server.
Im Moment machen wir das mit dem Windows TMG und wollen weg davon. Im NGINX Forum weis leider auch keiner so recht ob das geht.
LG
kennt sich hier jemand mit erweiterter NGINX Konfiguration aus? Unser Ziel ist es einen Reverse Proxy zu bauen der eine Kerberos Pre Authentifikation macht. Der reine Reverse Proxy läuft schon.
Ziel:
- User gibt ein "webmail.name.de"
- Ein Popup geht auf wo er seine Userdaten (User, PW, keine Domäne!) eingeben soll
- NGINX macht die Authentifikation per Kerberos
- User kommt direkt zur Webmail Oberfläche in sein Postfach
Kerberos und Webmail sind Windows Server.
Im Moment machen wir das mit dem Windows TMG und wollen weg davon. Im NGINX Forum weis leider auch keiner so recht ob das geht.
LG
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 447124
Url: https://administrator.de/contentid/447124
Ausgedruckt am: 05.11.2024 um 17:11 Uhr
8 Kommentare
Neuester Kommentar
Moin,
ist meines Wissnes nach weder mit der kostenlosen noch kostenpflichtigen Variante sauber umsetzbar. Wir haben anfangs auch lange mit Ngnix & Co geplant, getestet. Aber irgendwann musst du Lösungen präsentieren und vorallem Zeit ist Geld.
Microsoft sieht für solche Zwecke die Rollen AD FS und WAP vor. Diese sind in jeder Windows Server Edition enthalten. Damit lässt sich dein Wunsch erfüllen und funktioniert zuverlässig. Wenn du die Infrastruktur professionell einsetzt, schau das es aus einem Guss kommt. Sprich Windows Server mit den verschiedenen Rollen und einer sauberen Zertifikatsinfrastruktur im eurem Haus.
Stell dir vor, du bekommst das mit der Linux und Windows Welt zum Laufen. Sobald einer etwas in einem Modul für Authentifizierung ändert, fliegt dir - Worst Case - die Plattform um die Ohren. Dann bekommst du von beiden Herstellern defintiv kein Support.
Gruß,
Dani
ist meines Wissnes nach weder mit der kostenlosen noch kostenpflichtigen Variante sauber umsetzbar. Wir haben anfangs auch lange mit Ngnix & Co geplant, getestet. Aber irgendwann musst du Lösungen präsentieren und vorallem Zeit ist Geld.
Im Moment machen wir das mit dem Windows TMG und wollen weg davon.
Da seit ihr aber früh dran... wie lange ist der TMG schon EoS? *kopfschüttel*Microsoft sieht für solche Zwecke die Rollen AD FS und WAP vor. Diese sind in jeder Windows Server Edition enthalten. Damit lässt sich dein Wunsch erfüllen und funktioniert zuverlässig. Wenn du die Infrastruktur professionell einsetzt, schau das es aus einem Guss kommt. Sprich Windows Server mit den verschiedenen Rollen und einer sauberen Zertifikatsinfrastruktur im eurem Haus.
Stell dir vor, du bekommst das mit der Linux und Windows Welt zum Laufen. Sobald einer etwas in einem Modul für Authentifizierung ändert, fliegt dir - Worst Case - die Plattform um die Ohren. Dann bekommst du von beiden Herstellern defintiv kein Support.
Gruß,
Dani
Der Apache kann Kerberos, allerdings habe ich da selbst keine praktischen Erfahrungen.
https://www.plone-entwicklerhandbuch.de/authentifizierung/single-sign-on ...
https://www.plone-entwicklerhandbuch.de/authentifizierung/single-sign-on ...
@LordGurke
Das wird den Fragesteller meiner Einschätzung nach nicht weiter bringen. Denn die Kunst wird es sein, ein Stück Software zu finden welche Vorauthentifizierung unterstützt. Die weitere Hürde ist der Exchange Server 2013 und neuer Versionen. Dort werden meines Wissens nach als Authenfizierung nur AD FS und oAuth unterstützt.
Gruß,
Dani
Das wird den Fragesteller meiner Einschätzung nach nicht weiter bringen. Denn die Kunst wird es sein, ein Stück Software zu finden welche Vorauthentifizierung unterstützt. Die weitere Hürde ist der Exchange Server 2013 und neuer Versionen. Dort werden meines Wissens nach als Authenfizierung nur AD FS und oAuth unterstützt.
Gruß,
Dani