Moin Moin,
ich möchte im Moment eine Authentifizierung für eine Web-App. basteln und dafür einen bestehenden Kerberos-Server verwenden. Das ganze soll in einem Intranet laufen und alle autorisierten Clients sind am K-Server angemeldet.
Am liebsten würde ich das ganze so haben, dass kein Benutzername/PW eingegeben werden muss - gibt es also eine Möglichkeit die Authentifizierung an Hand der IP Adresse vorzunehmen?
Kerberos unter PHP/Perl
10 Beiträge
• Seite 1 von 1
Kerberos unter PHP/Perl
von pfeiffenaugust » 26.08.08 09:49
-
pfeiffenaugust - Beiträge: 120
- Registriert: 25.10.06 19:08
- thana
- Beiträge: 264
- Registriert: 18.10.07 17:01
-
fw - Beiträge: 1356
- Registriert: 17.05.06 19:37
- Studiengang: Informatik (Dipl.)
- Studiert seit: fertig
- Anwendungsfach: Mathe
von pfeiffenaugust » 26.08.08 11:40
naja der nutzername und co ist ja schon von interesse. der kerberos/ldap server stehen halt schon und die vorhandenen daten sollen halt von daher gelesen werden..
login ist ja im prinzip nicht nötig, da man jedem client den benutzer zuordnen kann. aber im moment sehe ich net wie ich das unter php hinkriege und google is auch net net so wahnsinnig hilfreich.
login ist ja im prinzip nicht nötig, da man jedem client den benutzer zuordnen kann. aber im moment sehe ich net wie ich das unter php hinkriege und google is auch net net so wahnsinnig hilfreich.
-
pfeiffenaugust - Beiträge: 120
- Registriert: 25.10.06 19:08
-
pfeiffenaugust - Beiträge: 120
- Registriert: 25.10.06 19:08
von MartinL » 26.08.08 12:12
Ich denke mal den Webserver gegen Kerberes/LDAP die Daten abfragen zu lassen wird sicher möglich sein. Insbesondere bei diesen 1001 PHP Plugins wird sicher irgendwas passendes dabei sein.
Das ganze jedoch gegen IP Adressen abzugleichen pervertiert irgendwie den Sinn von Kerberos. Normalerweise kann man im Betriebssystem global eine Kerberos Authentifizierung halten und Anwendungen können dann dagegen checken. Da soetwas aber von Browsern für gewöhnlich nicht gebracht wird glaube ich nicht, dass du einen finden wirst der sowas kann. Du kannst mal gucken ob man für Firefox vielleicht ein Plugin schreiben kann - aber andere Dinge halte ich für gewagt.
Wie gesagt. Mit Authentifizierung sollte eigentlich möglich sein.
Gruß,
Martin
Das ganze jedoch gegen IP Adressen abzugleichen pervertiert irgendwie den Sinn von Kerberos. Normalerweise kann man im Betriebssystem global eine Kerberos Authentifizierung halten und Anwendungen können dann dagegen checken. Da soetwas aber von Browsern für gewöhnlich nicht gebracht wird glaube ich nicht, dass du einen finden wirst der sowas kann. Du kannst mal gucken ob man für Firefox vielleicht ein Plugin schreiben kann - aber andere Dinge halte ich für gewagt.
Wie gesagt. Mit Authentifizierung sollte eigentlich möglich sein.
Gruß,
Martin
- MartinL
- Beiträge: 531
- Registriert: 23.01.07 20:48
- Studiert seit: WS 06/07
- Anwendungsfach: Mathe
von pfeiffenaugust » 26.08.08 12:28
hmm ja also das ist mir alles auch ein bisschen neu und ich bin mir garnicht sicher ob ich kerberos brauche oder ob nicht evt. schon alleine ldap reicht.
also hauptsache ist, das der nutzer automatisch identifiziert werden kann und dafür sollte max. einmal benutzername/pw abgefragt werden. das sollte über ldap ja problemlos gehen.
mein proble, dass mich auf kerberos gebracht hatte war, dass es mehrere web-apps gibt, die auf unterschiedlichen servern laufen.. und für die soll man sich natürlich nicht erneut anmelden müssen ..
also hauptsache ist, das der nutzer automatisch identifiziert werden kann und dafür sollte max. einmal benutzername/pw abgefragt werden. das sollte über ldap ja problemlos gehen.
mein proble, dass mich auf kerberos gebracht hatte war, dass es mehrere web-apps gibt, die auf unterschiedlichen servern laufen.. und für die soll man sich natürlich nicht erneut anmelden müssen ..
-
pfeiffenaugust - Beiträge: 120
- Registriert: 25.10.06 19:08
von Stasik » 26.08.08 23:30
naja, das problem, das du hast ist:
kerberos und ldap dienien ja für die "backand authorisierung" also, php verifiziert anhand von eingeebenem username/pass den benutzer und findet rechte heraus oder so.
Danach muss php diese information am benutzerbrowser "festschnallen".
Eine ip zu verwenden wird jedem den zugang erlauben, der z.b. am gleichen router mitsitzt, also inakzeptabel.
Also normalerweise speichert php diese information in session die ueber cookies am browser und so am benutzer festgebunden wird.
Das dumme ist, dass es immer eine cooke pro domain gibt. Also entweder machst du iframes von einem domain in verschiedene um so cookies zu kontrolieren (was Sicherheitsrisiko ist). Oder du lebst damit dass man sich pro domain einmal authorisieren muss.
kerberos und ldap dienien ja für die "backand authorisierung" also, php verifiziert anhand von eingeebenem username/pass den benutzer und findet rechte heraus oder so.
Danach muss php diese information am benutzerbrowser "festschnallen".
Eine ip zu verwenden wird jedem den zugang erlauben, der z.b. am gleichen router mitsitzt, also inakzeptabel.
Also normalerweise speichert php diese information in session die ueber cookies am browser und so am benutzer festgebunden wird.
Das dumme ist, dass es immer eine cooke pro domain gibt. Also entweder machst du iframes von einem domain in verschiedene um so cookies zu kontrolieren (was Sicherheitsrisiko ist). Oder du lebst damit dass man sich pro domain einmal authorisieren muss.
3 Träume des Studenten:
Während der Vorlesungen: Mann, wann werde ich endlich essen!
Während des Praktikums: Mann, wann werde ich endlich schlafen!
Während der Klausurphase: Mann, wann werde ich endlich sterben!
Während der Vorlesungen: Mann, wann werde ich endlich essen!
Während des Praktikums: Mann, wann werde ich endlich schlafen!
Während der Klausurphase: Mann, wann werde ich endlich sterben!
-
Stasik - Beiträge: 419
- Registriert: 11.04.06 18:16
- Studiengang: Informatik (Dipl.)
- Studiert seit: SS 06
- Anwendungsfach: E-Technik
10 Beiträge
• Seite 1 von 1