[sage-ka] Webauth?

Michael Ströder michael at stroeder.com
Mi Sep 17 16:11:21 CEST 2008 

Patrick M. Hausen wrote:
> On Wed, Sep 17, 2008 at 03:11:53PM +0200, Michael Ströder wrote:
> 
>>> 	http://www.stanford.edu/services/webauth/
> 
>> Ähnliches mache ich gerade mit CAS:
>> http://www.ja-sig.org/products/cas/
>> http://www.ja-sig.org/wiki/display/CASUM/Home
> 
>> Was hast Du genau vor? Was sind Deine Anforderungen?
> 
> Single-Signon mit SPNEGO und Active Directory.
> 
> Wir haben das mit mod_auth_kerb implementiert,

Das wurde im Projekt verworfen, da dort eine ganze Menge verschiedener
Apache-Versionen im Einsatz sind und daher es schwierig geworden wäre,
für jedes betriebene System einen passenden Build des Apache-Moduls zu
machen. Zudem sind die verschiedenen Linux-Distributionen/-Versionen
hinsichtlich Krb5 libs auf sehr unterschiedlichem Stand.

Der CAS-Client hängt dort in den PHP-Applikationen selbst oder bei
Java-Applikationen (im Tomcat) wird der CAS-Servlet-Filter verwendet.

> aber da gibt es wohl ein bekanntes Timing-Problem, das alle 
> Schaltjahre mal beim Anwender eine "401" Box hochpoppen läßt. Gefällt
> unserem Kunden nicht.

Ob das ein Timing-Problem ist? Dass SPNEGO mal nicht funktioniert kann
viele Gründe haben.

> Da eine cookiebasierte SSO-Lösung die Anzahl der tatsächlich
> noch nötigen SPNEGO/Kerbereos-Transaktionen dramatisch
> verringert, sollte das Problem damit in der Praxis nicht mehr
> auftreten.

Wenn Du eine WebSSO-Instanz dazwischen hängst, werden die übertragenen
Pakete erst mal zahlreicher! Die initiale Anmeldung mit SPNEGO am CAS
ist nicht schnell, später ein CAS-ST beschaffen allerdings schon.

Vorteil ist eben die Fallback-Möglichkeit. Ausserdem muss dann bei
Umstellung auf andere Authentifizierung keine Umstellung der
angeschlossenen System stattfinden. Man kann verschiedene
Authentifizierungsmechanismen nebeneinander verwenden.

> Wobei ich mich frage, was an SSO/SPNEGO innerhalb einer
> AD-Domäne so schwierig ist, daß es mit Apache nicht
> zuverlässig klappt. IIS kann es ja auch ;-)

Aber ob IIS es mit jedem Browser kann oder auch ein Fallback auf NTLM
stattfindet steht auf einem anderen Blatt. Letztlich hängt es an der
Version der Krb5 libs, der Version der AD-Domäne und deren Konfiguration
etc.

Ciao, Michael.