2012-01-20 10 views
10

Zostałem poproszony o skonfigurowanie serwera, który korzysta z internetowego interfejsu kontrolnego używającego Kerberos i aktywnego katalogu do uwierzytelniania. Używam twisted.web jako serwera WWW. Problem polega na tym, że nie chcę, aby hasła użytkownika przechodziły przez ten serwer, ale nie wiem, czy jest możliwe, aby firefox i chrome uzyskiwały klucze dostępu z serwera kluczy Kerberos. W szczególności musi działać z firefox, inne przeglądarki będą dodatkowym atutem. Czy istnieje biblioteka javascript, prawdopodobnie z wykorzystaniem HTML5 lub wtyczki firefox, która pozwala na uwierzytelnianie niezaufanego serwera za pomocą Kerberos? Może być również możliwa aplikacja flash.Kerberos za pośrednictwem javascript lub HTML 5

+2

'HTML5' to' HTML'. – Francisc

+0

Jeśli korzystasz z Pythona, odpowiedź na to pytanie może być przydatna: http://stackoverflow.com/questions/922805/spnim-kerberos-token-generation-validation-for-sso-using-python#1001619 – millimoose

+0

Problem z sugestią Milimoose polega na tym, że hasło nadal będzie musiało przejść przez serwer, więc użytkownik musi zaufać serwerowi, aby nie zepsuł go. Javy mogą być przeglądane przez użytkownika, jeśli są zainteresowani tym, więc chciałbym zachować go tuż między javascript na komputerze klienta i serwerze AD. JavaScript Web Sockets są bliskie, ale wolałbym nie próbować implementować protokołu Kerberos samodzielnie za ich pomocą. – Perkins

Odpowiedz

1

Może za pomocą odwrotnego proxy można użyć skrętu i użyć http auth z aplikacji internetowej i przekazać uwierzytelnianie Kerberos za pomocą modułu apache lub nginx.

Podczas gdy serwer proxy otrzyma hasło, skręcony serwer nie będzie zgodny z Twoim przypadkiem użycia. Żądania będą przechwytywane przez serwer proxy i przekazywane do twojego zaplecza (proxy_pass) po pomyślnym uwierzytelnieniu.

W ten sposób Twoje rozwiązanie będzie działać niezależnie od dowolnego klienta/przeglądarki internetowej.

+1

Ciekawa sugestia, której nie brałem pod uwagę. Problem polega na tym, że moja organizacja nie ma serwera skonfigurowanego do obsługi tego typu usługi proxy. Mogę ustawić jeden, ale tylko na serwerze nie chcę haseł uderzających. Nie chodzi tylko o to, że nie ufam oprogramowaniu serwerowemu, ponieważ chce on uniknąć audytu koszmaru, jeśli ktoś dostałby na jego konto kompromis. – Perkins