[sage-ka] Webauth?

Patrick M. Hausen hausen at punkt.de
Mi Sep 17 16:24:07 CEST 2008


Hi!

On Wed, Sep 17, 2008 at 04:11:21PM +0200, Michael Ströder wrote:
> > aber da gibt es wohl ein bekanntes Timing-Problem, das alle 
> > Schaltjahre mal beim Anwender eine "401" Box hochpoppen läßt. Gefällt
> > unserem Kunden nicht.
> 
> Ob das ein Timing-Problem ist? Dass SPNEGO mal nicht funktioniert kann
> viele Gründe haben.

Nun, ich hatte Kontakt mit einem Herrn Keltsch von science + computing,
angeblich Kerberos Spezialisten für heterogene Setups. Der meinte,
mod_auth_kern täte nicht. Mehr weiß ich auch nicht.

> > Da eine cookiebasierte SSO-Lösung die Anzahl der tatsächlich
> > noch nötigen SPNEGO/Kerbereos-Transaktionen dramatisch
> > verringert, sollte das Problem damit in der Praxis nicht mehr
> > auftreten.
> 
> Wenn Du eine WebSSO-Instanz dazwischen hängst, werden die übertragenen
> Pakete erst mal zahlreicher!

Wieso?

Ich dachte, das läuft so:

Server kriegt Request ohne Cookie -> Authentifizierung über anderen
Mechanismus wird durchgeführt und dem Client der Session-Cookie
gegeben, wenn die Authentifizierung erfolgreich war.

Server kriegt Request mit Cookie -> Credentials stehen im Cookie,
keine weitere Authentifizierung nötig, Thema durch.
Keine 25 AD-Transaktionen mehr, wenn die HTML-Seite 24 Bilder enthält.

> > Wobei ich mich frage, was an SSO/SPNEGO innerhalb einer
> > AD-Domäne so schwierig ist, daß es mit Apache nicht
> > zuverlässig klappt. IIS kann es ja auch ;-)
> 
> Aber ob IIS es mit jedem Browser kann oder auch ein Fallback auf NTLM
> stattfindet steht auf einem anderen Blatt.

Letzendlich interessiert das den Kunden alles einen Dreck.
Zu recht. Der will, daß der AD-Benutzer irgendwie beim Webserver
landet, sodaß man Inhalte nur bestimmten AD-Gruppen zugänglich
machen kann. Und der Benutzer soll sich nur einmal morgens an
seinem PC anmelden. Und es wird nur IE verwendet. Wen interessieren
andere Browser im Intranet eines Großunteirnehmens?

Was ich wegen dieser eigentlich einfachsten Aufgabenstellung
schon graue Haare habe.

Bei einem anderen Kunden haben wir NTLM genommen. Tut erstmal. Nur
manchmal scheitert die Authentifizierung, die Götter wissen,
weshalb. Und dann sperrt das AD den Benutzer-Account. Klasse ...

> Letztlich hängt es an der
> Version der Krb5 libs, der Version der AD-Domäne und deren Konfiguration
> etc.

Und wer in Deutschland, dem ich gerne 2 Manntage bezahle, kann
mir sagen _wie_ es von all diesen Parametern abhängt und mit
welchen Versionen es garantiert 100% funktioniert? Wir sind in
der Wahl hier völlig frei, es geht um eine Intranet-Plattform,
die funktionieren muß. Alles andere ist zweitrangig.

Wie gesagt kaufe ich gerne Consulting ein zu dem Thema.

Gruß,
Patrick
-- 
punkt.de GmbH * Kaiserallee 13a * 76133 Karlsruhe
Tel. 0721 9109 0 * Fax 0721 9109 100
info at punkt.de       http://www.punkt.de
Gf: Jürgen Egeling      AG Mannheim 108285