Hallo zusammen,
nachdem ich nun soweit komplett fertig war/bin (zumindest dachte ich das), dass SSO innerhalb der Domäne funktioniert,
habe ich (mal wieder durch Zufall) schnell noch was von Zuhause austesten wollen. Da ich zu faul war das Firmenlaptop
aus der Tasche zu holen und das VPN aufzubauen und der iMac eh gerade angeschaltet war, habe ich mich von dort
versucht am Firstspirt anzumelden.
Ich erhielt auch (völlig legitim) die Standard Login Maske von Firstspirit (auf dem privaten iMac kann ja auch
kein SSO funktionieren. 
). Als ich jedoch mein Domänen Kennwort + Passwort eingeben hatte, verweigerte mir Firstspirit den Einlass.
Keine Fehlermeldung, NICHTS (zumindest nichts das angezeigt wurde).
Etwas verwirrt holte ich nun doch das Laptop heraus, baute das VPN auf und probierte die Verbindung aus.
Sofort wurde ich per SSO am Firstspirit angemeldet. Keine Probleme.
Wenn ich mich nun aber über "Benutzer wechseln" bzw. "Abmelden" vom System abmelde und von Hand wieder anmelden will, dann funktioniert das nicht.
Aus irgendeinem Grund funktioniert das "manuelle" Anmelden parallel zum SSO nicht.
Viel schlimmer als das (mit dem Umstand das intern NUR SSO geht könnte ich noch leben) ist aber, dass es von extern überhaupt nicht geht.
Ich weiß von anderen Systemen die Kerberos nutzen, dass man teilweise IP-Adressbereiche definieren kann. Die Webapplikation prüft dann, ob der Seitenaufruf mit einem Pattern übereinstimmt und erlaubt nur dann SSO. Ansonsten wird die Standard Login Prozedur angeboten.
Ist so etwas auch bei Firstspirit möglich? Wenn nein, gibt es eine Möglichkeit die Authentifizierung per Username + Passwort UND SSO zu ermöglichen?
Grüße aus Eschborn
René
