rene_charbonnea
I'm new here

Probleme mit Kerberos die zweite...

Hallo zusammen,

nachdem ich nun soweit komplett fertig war/bin (zumindest dachte ich das), dass SSO innerhalb der Domäne funktioniert,

habe ich (mal wieder durch Zufall) schnell noch was von Zuhause austesten wollen. Da ich zu faul war das Firmenlaptop

aus der Tasche zu holen und das VPN aufzubauen und der iMac eh gerade angeschaltet war, habe ich mich von dort

versucht am Firstspirt anzumelden.

Ich erhielt auch (völlig legitim) die Standard Login Maske von Firstspirit (auf dem privaten iMac kann ja auch

kein SSO funktionieren. Smiley Wink ). Als ich jedoch mein Domänen Kennwort + Passwort eingeben hatte, verweigerte mir Firstspirit den Einlass.

Keine Fehlermeldung, NICHTS (zumindest nichts das angezeigt wurde).

Etwas verwirrt holte ich nun doch das Laptop heraus, baute das VPN auf und probierte die Verbindung aus.

Sofort wurde ich per SSO am Firstspirit angemeldet. Keine Probleme.

Wenn ich mich nun aber über "Benutzer wechseln" bzw. "Abmelden" vom System abmelde und von Hand wieder anmelden will, dann funktioniert das nicht.


Aus irgendeinem Grund funktioniert das "manuelle" Anmelden parallel zum SSO nicht.

Viel schlimmer als das (mit dem Umstand das intern NUR SSO geht könnte ich noch leben) ist aber, dass es von extern überhaupt nicht geht.

Ich weiß von anderen Systemen die Kerberos nutzen, dass man teilweise IP-Adressbereiche definieren kann. Die Webapplikation prüft dann, ob der Seitenaufruf mit einem Pattern übereinstimmt und erlaubt nur dann SSO. Ansonsten wird die Standard Login Prozedur angeboten.

Ist so etwas auch bei Firstspirit möglich? Wenn nein, gibt es eine Möglichkeit die Authentifizierung per Username + Passwort UND SSO zu ermöglichen?

Grüße aus Eschborn
René

0 Kudos
3 Replies
rene_charbonnea
I'm new here

Hmm, wie es scheint habe ich auch hier die Lösung des Problems gefunden:

Ich habe im Bereich websso einfach folgendes Modul auskommentiert

"de.espirit.firstspirit.server.authentication.FSTicketLoginModule sufficient;"

Allerdings muss ich jetzt erst nochmal alles ausführlich testen. Nicht das ich mir damit jetzt ein anderes Problem einhandelt habe.

Die aktuelle fs-jaas.conf sieht jetzt übrigens wie folgt aus:

/*

* JAAS Login Configurations.

*   (for app-to-config mappings see fs-server.conf, JAAS.*)

*/

/* access api authentication (e.g., for remote projects) */

system {

    de.espirit.firstspirit.server.authentication.FSTicketLoginModule sufficient;

    de.espirit.firstspirit.server.authentication.FSUserLoginModule sufficient hash="true";

};

/* java-/admin-client authentication without sso */

plain {

    de.espirit.firstspirit.server.authentication.LdapLoginModule optional section="LDAP";

    de.espirit.firstspirit.server.authentication.FSUserLoginModule optional;

};

/* java-/admin-client authentication sso */

sso {

    de.espirit.firstspirit.server.authentication.FSTicketLoginModule sufficient;

    // de.espirit.firstspirit.server.authentication.NTLMLoginModule optional domains=":my-netbois-domain;:my-active-directory-domain";

    // de.espirit.firstspirit.server.authentication.WindowsLoginModule optional;

    de.espirit.firstspirit.server.authentication.LdapLoginModule optional section="LDAP";

    de.espirit.firstspirit.server.authentication.FSUserLoginModule optional;

};

/* web authentication (for preview, webedit, webmonitor) without sso */

webplain {

    de.espirit.firstspirit.server.authentication.LdapLoginModule optional section="LDAP";

    de.espirit.firstspirit.server.authentication.FSUserLoginModule optional;

};

/* web authentication (for preview, webedit, webmonitor) with sso */

websso {

    // de.espirit.firstspirit.server.authentication.FSTicketLoginModule sufficient;

    // de.espirit.firstspirit.server.authentication.NTLMLoginModule optional domains=":my-netbois-domain;:my-active-directory-domain";

    // de.espirit.firstspirit.server.authentication.WindowsLoginModule optional;

    de.espirit.firstspirit.server.authentication.KerberosLoginModule optional;

    de.espirit.firstspirit.server.authentication.LdapLoginModule optional section="LDAP";

    de.espirit.firstspirit.server.authentication.FSUserLoginModule optional;

};

com.sun.security.jgss.accept {

com.sun.security.auth.module.Krb5LoginModule required

principal="HTTP/fsprod01.hlp.de@HLP.DE"

keyTab="/opt/firstspirit4/conf/kerbfs4prod01-rc4.keytab"

useKeyTab="true"

storeKey="true"

isInitiator="false"

doNotPrompt="true"

debug="false";

};

Der JAAS Bereich der fs-server.conf sieht aktuell so aus:

###########################

# JAAS

###########################

JAAS.system=system

JAAS.client=sso

JAAS.default=plain

JAAS.admin=sso

JAAS.webnonsso=webplain

JAAS.websso=websso

Ich melde mich spätestens nächste Woche wenn ich ausführlich getestet habe.

Gruß
René

Hallo zusammen,

also bisher scheint alles notwendige zu funktionieren. Allerdings habe ich das Gefühl, dass die Authentifizierung & Authorisierung via LDAP etwas instabil läuft. Ich habe gerade 15 Minuten lang versucht 3 User (per Hand durch Eingabe von Username + Passwort und NICHT per SSO; SSO funktioniert völlig ohne Probleme) anzumelden. Ohne Erfolg.

Danach klappte das urplötzlich ohne Probleme. Ich behalte das aber mal im Auge.

0 Kudos

Kann es sein, dass die Benutzerkonten für einen Zeitraum automatisch gesperrt wurden, weil zuviele Anmeldeversuche mit falschem Passwort erfolgten? Sofern Active Directory eingesetzt wird, bitte in der Ereignisanzeige auf dem Domaincontroller nachsehen. Bei Windows 2008 ist es Ereignis-ID 4740 mit Level Info.

0 Kudos