helldunkel
Goto Top

NGINX mit Kerberos

Hi,

kennt sich hier jemand mit erweiterter NGINX Konfiguration aus? Unser Ziel ist es einen Reverse Proxy zu bauen der eine Kerberos Pre Authentifikation macht. Der reine Reverse Proxy läuft schon.

Ziel:

- User gibt ein "webmail.name.de"

- Ein Popup geht auf wo er seine Userdaten (User, PW, keine Domäne!) eingeben soll

- NGINX macht die Authentifikation per Kerberos

- User kommt direkt zur Webmail Oberfläche in sein Postfach

Kerberos und Webmail sind Windows Server.

Im Moment machen wir das mit dem Windows TMG und wollen weg davon. Im NGINX Forum weis leider auch keiner so recht ob das geht.

LG

Content-ID: 447124

Url: https://administrator.de/contentid/447124

Ausgedruckt am: 05.11.2024 um 17:11 Uhr

aqui
aqui 03.05.2019 um 17:58:19 Uhr
Goto Top
OT: Ist NGNIX ein Freund von Asterix ?
Für die peinlichen Freitags Fauxpas' in der Überschrift gibts immer den "Bearbeiten" Button face-wink
helldunkel
helldunkel 03.05.2019 um 18:08:03 Uhr
Goto Top
hahaha.... Feierabend Zeit.... das "I" wandert dauernd wo anders hin
certifiedit.net
certifiedit.net 03.05.2019 um 18:23:34 Uhr
Goto Top
certifiedit.net
certifiedit.net 03.05.2019 um 18:25:52 Uhr
Goto Top
Dani
Dani 03.05.2019, aktualisiert am 05.05.2019 um 20:35:03 Uhr
Goto Top
Moin,
ist meines Wissnes nach weder mit der kostenlosen noch kostenpflichtigen Variante sauber umsetzbar. Wir haben anfangs auch lange mit Ngnix & Co geplant, getestet. Aber irgendwann musst du Lösungen präsentieren und vorallem Zeit ist Geld.

Im Moment machen wir das mit dem Windows TMG und wollen weg davon.
Da seit ihr aber früh dran... wie lange ist der TMG schon EoS? *kopfschüttel*

Microsoft sieht für solche Zwecke die Rollen AD FS und WAP vor. Diese sind in jeder Windows Server Edition enthalten. Damit lässt sich dein Wunsch erfüllen und funktioniert zuverlässig. Wenn du die Infrastruktur professionell einsetzt, schau das es aus einem Guss kommt. Sprich Windows Server mit den verschiedenen Rollen und einer sauberen Zertifikatsinfrastruktur im eurem Haus.

Stell dir vor, du bekommst das mit der Linux und Windows Welt zum Laufen. Sobald einer etwas in einem Modul für Authentifizierung ändert, fliegt dir - Worst Case - die Plattform um die Ohren. Dann bekommst du von beiden Herstellern defintiv kein Support.


Gruß,
Dani
aqui
aqui 03.05.2019 um 20:03:34 Uhr
Goto Top
Oder Roundcube oder Squirrel Mail... face-wink
LordGurke
LordGurke 03.05.2019 um 20:17:26 Uhr
Goto Top
Der Apache kann Kerberos, allerdings habe ich da selbst keine praktischen Erfahrungen.

https://www.plone-entwicklerhandbuch.de/authentifizierung/single-sign-on ...
Dani
Dani 03.05.2019, aktualisiert am 05.05.2019 um 20:35:58 Uhr
Goto Top
@LordGurke
Das wird den Fragesteller meiner Einschätzung nach nicht weiter bringen. Denn die Kunst wird es sein, ein Stück Software zu finden welche Vorauthentifizierung unterstützt. Die weitere Hürde ist der Exchange Server 2013 und neuer Versionen. Dort werden meines Wissens nach als Authenfizierung nur AD FS und oAuth unterstützt.


Gruß,
Dani