Kerberos и проверка подлинности форм?

У нас есть система, которая предоставляется внутренним пользователям (которые имеют аутентификацию Kerberos) и третьим сторонам, которые могут войти в систему через традиционную форму имени пользователя/пароля. То, что мы сейчас сделали, - это запустить несколько серверов, некоторые из которых Kerberized, скажем, a.mysite.com и некоторые, у которых есть проверка подлинности форм на b.mysite.com.

Я бы хотел, чтобы у меня был один URL-адрес, который мы разделяем с обеими группами, и сервер определяет, доступен ли токен Kerberos. Если это так, используйте это, иначе переадресовывайтесь на страницу входа. В идеале пользователи остаются на «myproject.mysite.com» все время ... но если нам необходимо (автоматически) перенаправить их на a.mysite.com или b.mysite.com на основе того, есть ли у них этот токен, это нормально.

Мысли?

 0
добавлено
Просмотры: 3
источник
nl ja de
Наш сайт представляет собой стек ruby ​​/ rails, работающий на Apache (через Passenger), а хранилища учетных данных отличаются.
добавлено автор Oli, источник
Какой технологический стек вы используете? В конечном итоге оба типа пользователей аутентифицируются на одном сервере аутентификации? Какой тип сервера аутентификации вы используете?
добавлено автор Scott Stevens, источник

1 ответы

Это очень легко достичь. Для вас есть два варианта.

1: Отправлять обратно клиенту

WWW-Authenticate: Negotiate
WWW-Authenticate: Kerberos
WWW-Authenticate: Basic (or better yet Digest)

Клиент выберет наилучший доступный для него метод.

2: Если вам действительно требуется form-auth, отправьте

WWW-Authenticate: Negotiate

и представить форму как страницу 401. Дайте сообщению формы незащищенному контроллеру и выполните команду auth.

Вы можете использовать mod_auth_kerb или mod_auth_gss для Apache HTTPd и изучить $ REMOTE_USER после успешного авторизации.

Имейте в виду, что если вы хотите, чтобы некоторые пользователи использовали Kerberos auth, они должны быть частью вашей сети/домена с учетными записями KDC и соответствующими DNS-записями.

0
добавлено
источник
Кибербезопасность АСУ ТП: RUSCADASEC Community
Кибербезопасность АСУ ТП: RUSCADASEC Community
1 389 участник(ов)

Группа открытого независимого сообщества специалистов по кибербезопасности АСУ ТП / RUSCADASEC для интерактивного обмена информацией по теме Подробнее: www.ruscadasec.ru Наш канал для основных новостей и материалов @RUSCADASECnews

Открыть Telegram
secinfosec
secinfosec
697 участник(ов)

Эта группа про информационную безопасность. Целевая аудитория: пентестеры, ресерчеры, ибшники всех мастей. Реклама, криминал, политика и прочая чушь карается родовыми проклятьями. Митапы: https://www.youtube.com/channel/UCagEjp1FmxY9gsVxi6_d4SQ

Открыть Telegram
Linux Security
Linux Security
652 участник(ов)

Данная группа принципиально про безопасность и в частности про безопасность Linux. Прочие темы просим обсуждать в профильных чатах.

Открыть Telegram
Chat Security / ИБач чат
Chat Security / ИБач чат
601 участник(ов)

Чат канала @ibach Обсуждение всего, что касается информационной безопасности Правила: https://t.me/chat_security/65

Открыть Telegram