klaus_rogall
I'm new here

Anmelden ohne SSO

Hallo,

ich habe eine Frage (oder Verständnisschwierigkeit?) bzgl. der Anmeldungen an FS per Web-Login.

Ausgangspunkt:

1. Ausgangspunkt ist ein Web-Login an FS mit einem lokalen Benutzer, z.B. "Admin". Diese habe das wenig einfallsreiche Passwort "Admin".

2. Unsere FS-Installation läuft hinter einem Apache Webserver, d.h. alle HTTP-Requests laufen durch diesen Webserver.

3. Das ist alles ganz einfach und man kann sich als "Admin" mit dem Passwort "Admin" an FS anmelden.

Basic Authentication

Wir haben dann mittels des Apache Webservers eine Basic Authentication für alle HTTP-Zugriffe konfiguriert; somit sind auch die URLs, unter der FS zu erreichen ist, darin eingeschlossen.

Wie haben für diese Basic Authentication nun einen Benutzer konfiguriert, der (zufällig) ebenfalls "Admin" heißt. Sein Passwort in Apache ist aber nicht "Admin", sondern "123".

Jetzt stellen wir folgendes fest:

 

Nachdem ich mich per Basic Authentication als "Admin" angemeldet hatte, funktionierte das nachfolgende Login an FirstSpirit nicht mehr. Die Login-Daten, genauer: das Passwort "123" aus der vorangegangenen Basic Authentication, passt nicht zu FS - so jedenfalls mein Verständnis. Ich kann dann zwar in der FS-Login-Maske das von FS erwartete Passwort eingeben, es wird aber ignoriert, d.h. ich kann mich nicht an FS anmelden.

Wenn das Passwort der Basic Authentication so konfiguriere, dass es identisch ist mit dem FS-Passwort ist (also "Admin" statt "123"), dann klappt alles wunderbar, vor allem muss ich mich dann wegen SSO noch nicht mal mehr an FS anmelden.

Dieses SSO-Verhalten ist in den meisten Fällen sicherlich gewünscht, wir möchte es aber gerade nicht haben. Wir möchten, dass die Benutzer und deren Passwörter, die für Basic Authentication konfiguriert werden, unabhängig von denen aus FS sind, auch wenn Benutzernamen zufällig identisch sind.

Ist es möglich, dass das FS-Login-Modul, es ist wohl "FSUserLoginModule", die vorherige Basic Authentication-Anmeldung nicht verwertet? D.h. kann man auf das SSO-Feature verzichten?

Beste Grüße,

Klaus Rogall

0 Kudos
2 Replies
marza
I'm new here

Hallo Klaus,

habt ihr schon versucht, dass SSO in der JAAS-Konfiguration der FS-Server-Eigenschaften anzupassen? Dort kann man SSO auch ausschalten. Weitere Informationen findet ihr in der Admin-Doku:

http://www.e-spirit.com/odfs51/Dokumentation/Fuer-Administratoren/?community

Ich frage mich jedoch, warum ihr z.B. in FirstSpirit nicht einfach einen LDAP konfiguriert und mit einer Authentifizierung (nämlich die in FS) auskommt. Welche Sicherheit mehr bringt euch eine vorgelagerte Anmeldung?

Viele Grüße

Marian Zaplatynski

0 Kudos

Hallo Marian,

danke für die Hinweise. An den genannten Stellen haben wir auch schon ausprobiert.Ich habe aber inzwischen hinbekommen, mit einem Trick (wir gegen den Authentication einfach nich an FS weiter).

LDAP nutzen wir auch. Der Grund für zusätzliche Basic-Authentication ist einfach: Da auch Home-Office-Mitarbeiter, die ohne VPN arbeiten, FS nutzen können sollen, muss das System im Internet exponiert werden. Von außen soll dann aber noch nicht mal die Anmeldeseite von FS sehen. Daher erst Basic-Auth, dahinter dann FS-Login. Man können nun Apache dazu bringen, den LDAP-Server zu nutzen, das aber will der Kunden aus bestimmten Gründen nicht.

Grüße,

Klaus Rogall

0 Kudos