[sage-ka] Webauth?
Michael Ströder
michael at stroeder.com
Mi Sep 17 20:04:18 CEST 2008
Patrick M. Hausen wrote:
>
> hat jemand in diesem Kreis das hier:
>
> http://www.stanford.edu/services/webauth/
>
> schon mal erfolgreich aufgesetzt?
Mir ist noch was eingefallen: In einer früheren WebAuth-Präsentation
wurde dargestellt, dass das Kerberos-TGT in einem HTTP-Cookie
rumgesendet wird. Das fand ich aus Sicherheitsgründen nicht so dolle.
Ich weiss nicht, ob das in aktuellen Protokoll-Versionen noch so ist.
Prüfe das mal nach.
Das hier sieht aber ähnlich aus wie das CAS-Protokoll (HTTP-Redirects
zwischen WAS und WebKDC):
http://www.stanford.edu/services/webauth/protocol.html#scenarios
Achtung! Forwardable Tickets bei SPNEGO (z.B. AD-Service-Konto mit
"trusted for delegation") sind auch TGTs! Man muss also einem
Web-Server, der das annimmt voll vertrauen. Braucht man aber meistens
nicht für Authc in einer Anwendung.
Ciao, Michael.