Help

Questions & Answers

klaus_rogall
I'm new here
โ€Ž08-29-2014 04:36 AM

Anmelden ohne SSO

Hallo,

ich habe eine Frage (oder Verstรคndnisschwierigkeit?) bzgl. der Anmeldungen an FS per Web-Login.

Ausgangspunkt:

1. Ausgangspunkt ist ein Web-Login an FS mit einem lokalen Benutzer, z.B. "Admin". Diese habe das wenig einfallsreiche Passwort "Admin".

2. Unsere FS-Installation lรคuft hinter einem Apache Webserver, d.h. alle HTTP-Requests laufen durch diesen Webserver.

3. Das ist alles ganz einfach und man kann sich als "Admin" mit dem Passwort "Admin" an FS anmelden.

Basic Authentication

Wir haben dann mittels des Apache Webservers eine Basic Authentication fรผr alle HTTP-Zugriffe konfiguriert; somit sind auch die URLs, unter der FS zu erreichen ist, darin eingeschlossen.

Wie haben fรผr diese Basic Authentication nun einen Benutzer konfiguriert, der (zufรคllig) ebenfalls "Admin" heiรŸt. Sein Passwort in Apache ist aber nicht "Admin", sondern "123".

Jetzt stellen wir folgendes fest:

 

Nachdem ich mich per Basic Authentication als "Admin" angemeldet hatte, funktionierte das nachfolgende Login an FirstSpirit nicht mehr. Die Login-Daten, genauer: das Passwort "123" aus der vorangegangenen Basic Authentication, passt nicht zu FS - so jedenfalls mein Verstรคndnis. Ich kann dann zwar in der FS-Login-Maske das von FS erwartete Passwort eingeben, es wird aber ignoriert, d.h. ich kann mich nicht an FS anmelden.

Wenn das Passwort der Basic Authentication so konfiguriere, dass es identisch ist mit dem FS-Passwort ist (also "Admin" statt "123"), dann klappt alles wunderbar, vor allem muss ich mich dann wegen SSO noch nicht mal mehr an FS anmelden.

Dieses SSO-Verhalten ist in den meisten Fรคllen sicherlich gewรผnscht, wir mรถchte es aber gerade nicht haben. Wir mรถchten, dass die Benutzer und deren Passwรถrter, die fรผr Basic Authentication konfiguriert werden, unabhรคngig von denen aus FS sind, auch wenn Benutzernamen zufรคllig identisch sind.

Ist es mรถglich, dass das FS-Login-Modul, es ist wohl "FSUserLoginModule", die vorherige Basic Authentication-Anmeldung nicht verwertet? D.h. kann man auf das SSO-Feature verzichten?

Beste GrรผรŸe,

Klaus Rogall

Labels
0 Kudos
2 Replies
marza
I'm new here
โ€Ž11-17-2014 03:09 AM

Hallo Klaus,

habt ihr schon versucht, dass SSO in der JAAS-Konfiguration der FS-Server-Eigenschaften anzupassen? Dort kann man SSO auch ausschalten. Weitere Informationen findet ihr in der Admin-Doku:

http://www.e-spirit.com/odfs51/Dokumentation/Fuer-Administratoren/?community

Ich frage mich jedoch, warum ihr z.B. in FirstSpirit nicht einfach einen LDAP konfiguriert und mit einer Authentifizierung (nรคmlich die in FS) auskommt. Welche Sicherheit mehr bringt euch eine vorgelagerte Anmeldung?

Viele GrรผรŸe

Marian Zaplatynski

0 Kudos
klaus_rogall
I'm new here
In response to marza
โ€Ž11-17-2014 03:24 AM

Hallo Marian,

danke fรผr die Hinweise. An den genannten Stellen haben wir auch schon ausprobiert.Ich habe aber inzwischen hinbekommen, mit einem Trick (wir gegen den Authentication einfach nich an FS weiter).

LDAP nutzen wir auch. Der Grund fรผr zusรคtzliche Basic-Authentication ist einfach: Da auch Home-Office-Mitarbeiter, die ohne VPN arbeiten, FS nutzen kรถnnen sollen, muss das System im Internet exponiert werden. Von auรŸen soll dann aber noch nicht mal die Anmeldeseite von FS sehen. Daher erst Basic-Auth, dahinter dann FS-Login. Man kรถnnen nun Apache dazu bringen, den LDAP-Server zu nutzen, das aber will der Kunden aus bestimmten Grรผnden nicht.

GrรผรŸe,

Klaus Rogall

0 Kudos

Type a product name