[alim27]

Hallo,

ich habe eine WebApp und möchte ein Single Sign On dafür schreiben, das in einem Intranet integriert ist. D.H. wenn ein Benutzer innerhalb dieses Netzwerk sich anmeldet und diese Applikation aufruft (die App ist natürlich im normalen Fall durch eine Anmeldemechanismus geschützt), brachut er nicht seine Credentials (username, password) ernaut einzugeben. Mein Problem ist dass, ich nicht viel von Netzwerken (Intranets) verstehe und wie die Administratoren die Benutzerdaten verwalten. Wie werden die meisten Intranets realiesiert, mich interessiert meistens wo werden die Benutzerdaten gespeichert (in einem Srever) aber ob diese Server Standard ist. Einbischen verwirrt bin ich weil ich viel gelesen habe, und bis jetzt weiss ich nicht was der Unterschied zwischen LDAP und Kerberos und ob noch was anderes gibt (nur für Windows ist für mich relevant). Danke für jede Anregung.

[mepeisen]

Also. Die erste Frage wäre, wo meldet sich der Benutzer als erstes an. Wenn es ein "komplettes" Netzwerk ist, wird das in der Regel eine OS-Authentifizierung sein, also beispislweise die Authentifizierung gegenüber einer Windows-Domäne oder gegenüber eines LDAP für Linux und ähnliches.

Ab da würde ich weitermachen, denn dein Problem ist hauptsächlich auf den Nenner gebracht: Wie erkennst du den Benutzer wieder. Pauschal anhand der IP-Adresse, aber je nach Art der Benutzeranmeldung (z.B. gegenüber einer Windows-Domäne) kann es zusätzliche Kriterien geben, um den Benutzer auch zuverlässig wiederzuerkennen.

Die Frage wie und wo die Benutzerdaten liegen, hängt auch stark davon ab, wo man sich typischwerweise anmeldet. Du hast schonmal Kerberos angesprochen, das ist ein guter Standard. Da brauchst du dir selbst zumindest nicht allzugroße Gedanken machen, sofern das halt wirklich passt.

LDAP ist ein Verzeichnisdienst. Du kannst LDAP vergleichen mit einer Art Datenbank-Standard, wo unter anderem auch Benutzerdaten hinterlegt sein können. Für alle Besserwisser: Ich weiß, dass es das nicht trifft. Aber das dürfte den allgemeinen Vorstellungen entgegen kommen.
Kerberos ist ein Authentifizierungsstandard für Netzwerke. Wie gesagt aber kommts drauf an, ob das Programm, was die erste Authentifizierung deiner Benutzer entgegennimmt, eine Kerberos-Schnittstelle anbietet.

[bobby]

In der Windowswelt findest du meistens Microsofts Active Directory http://de.wikipedia.org/wiki/Active_Directory (Sammelbegriff für verschiedene Komponenten u.a. mit Kerberos).

Allerdings wäre es noch interessant zu wissen, um welche Programmiersprache es geht.

bobby.

[alim27]

Seid bedankt erstmal.
Ich habe einen Vorschlag bekommen der so aussieht:

1- Ein User meldet sich in einem Intranet an.
2- Er versucht auf meine Webapplication der inzwischen in diesem Netz verfügbar ist, zuzugreifen.
3- Die WebApp fordert ein Kerberos Ticket auf.
4- Der Browser leitet die Anforderung ans BS(Windows) weiter.
5- BS holt sich das Ticket von einem DC (Domain Controller).
6- Der DC prüft im ActiveDirectory / LDAP ob der User die Berechtigung für die Anfrage hat.
7- Der DC stellt das Ticket (Ticket Granting Ticket) für den User.
8- Der Browser überträgt dann das Ticket anstelle von Username & Passwort an die WebApp.

Zur Errinerung. Das Ziel ist einen SSO (Single Sign On) Mechanismus für ein Web Applikation (Java) in einem Intranet oder Firmennetz -wie auch immer das heisst- zu entwickeln.
Die WebApp ist ursprünglich durch die Eingabe von Username und Passwort geschützt. Die Eingabe von Benutzerlogindaten soll für der Benutzer dieses Netzes erspart, ihnen wird also Zugang zu diese WebApp ohne erneute Login Vorgang gewährt.

mepeisen : ich bin jetzt auf die Ebene gekommen wo ich sagen kann dass, die Benutzer in einem Intranet wo Kerberos im Spiel ist, und sich gegenüber einer Windows-Domäne authentifizieren.

bobby : Die WebApp wurde in Java entwickelt.

Hat jemand einen anderen Vorschlag wie so etwas zu realisieren ist oder Korrektur oder ... Bitte posten.


Beste Grüsse
Alim