Jump to content

Kerberos Ticket statt Name/Passwort-Speicherung


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo!

 

Ich erstelle eine Applikation auf Basis von PHP/Apache auf einem Windows 2008-Server. Mit Hilfe dieser kann der Benutzer über eine Weboberfläche kleine Änderungen am Active Directory per LDAP vornehmen.

 

Im Moment funktioniert dies folgendermaßen:

Der Benutzer loggt sich ein, der Server speichert Namen und Passwort und bei einer Änderung loggt sich der Server dann mit Name/Passwort vom Benutzer ein.

 

Ich würde das gleiche nun gerne ohne die Speicherung von Name/Passwort des Users verwirklichen. Ich habe mich auch schon informiert, das dies mit Kerberos-Tickets zu lösen ist.

 

Allerdings habe ich bisher keine Ahnung davon.

Was ich also gerne machen würde: Der Benutzer gibt Namen/Passwort ein und Apache generiert daraufhin ein Ticket, dass er abspeichert und bei Verbindungen sendet.

Ich habe das Modul Mod_auth_kerb gefunden.

Allerdings übergebe ich ja eigentlich in PHP mittels ldap_bind den Usernamen/Passwort.

 

Hat jemand eine Idee wie ich es also hinkriege, dass statt Name/Passwort ein Ticket benutzt wird?

 

Danke für Tipps und Ideen!

Link zu diesem Kommentar

Hallo Thomas

 

So wird das nichts werden. Nur aufgrund von einer Benutzereingabe lässt sich kein Kerberos-Ticket erstellen.

 

Wenn überhaupt müsste deine Applikation es zulassen, das der User sich nicht anmeldet, sondern dessen bestehende Anmeldung (den er ist ja über seinen Login an seiner Workstation schon gegenüber dem AD authentifiziert) weiterverwendet wird. Stichwort hier: Pass-Through Authentication.

 

Nicht sicher ob das mit Apache / PHP geht, aber das wäre der grundlegende Weg.

 

BTW: Wofür soll das ganze denn gut sein? AD Tools gibts nun schon wie Sand am Meer.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...