Zum Inhalt springen

Apache Authentifizierung

Guybrush Threepwood
 Teilen

Empfohlene Beiträge

Guybrush Threepwood

Guybrush Threepwood

Geschrieben
Geschrieben

Bin mir nicht sicher ob das Thema hier am Besten hingehört.

Wir haben einen Apache (im Intranet) welcher SVN Repositories bereitstellt. Die Authentifizierung der Benutzer findet anhand der Domänenbenutzer im Active Directory (auf einem anderem Server) statt.

Das Problem was ich jetzt habe ist das zum Authentifizieren kein Single Sign On bzw. Integrierte Windows Anmeldung verwendet wird sondern jedes mal Benutzername und Kennwort (des Domänenaccounts) eingegeben werden müssen und anscheinend im Klartext zum Apache Server geschickt werden.

Mein Kollege welcher den Server konfiguriert hat jetzt aufgrund meiner Beschwerden eine https Verbindung eingerichtet so dass das Kennwort auf dem Weg zwischen Client und Apache verschlüsselt ist und hält das Problem damit für erledigt.

Ich finde allerdings nicht das es erledigt ist da das Passwort auf dem Server immer noch im Klartext ankommt und würde gerne wissen welche Alternativen es da gibt.

flashpixx

flashpixx

Geschrieben
Geschrieben
es erledigt ist da das Passwort auf dem Server immer noch im Klartext ankommt und würde gerne wissen welche Alternativen es da gibt.

Das ist so nicht korrekt. Das Passwort wird durch die SSL Verbindung verschlüsselt übertragen. Die Validierung des Passwortes wird wohl bei einem AD via LDAP geschehen, das auch per SSL verschlüsselt wird.

Sofern die Verbindungen per SSL verschlüsselt sind, gebe ich Deinem Kollegen recht und sehe da kein Problem

Wenn Du Signal-Sign-One haben willst, dann musst Du entsprechend mit Kerberos arbeiten.

Guybrush Threepwood

Guybrush Threepwood

Geschrieben
  • Autor
Geschrieben
Das ist so nicht korrekt. Das Passwort wird durch die SSL Verbindung verschlüsselt übertragen. Die Validierung des Passwortes wird wohl bei einem AD via LDAP geschehen, das auch per SSL verschlüsselt wird.

Ja aber das sind ja 2 verschiedene Vorgänge wie ich das sehe.

Also erstens übertragung des Kennworts an den Server. Verschlüsselt wenn über https

Zweitens prüfen des Kennworts am AD. Selbst wenn es hierzu auch wieder verschlüsselt an das AD übertragen wird (oder gar nicht übertragen wird) ist das ja ein anderer Vorgang als Schritt 1.

Das heißt zwischen diesen beiden Schritten wäre es entschlüsselt. Denn sobald es am Server ankommt wäre es ja wieder entschlüsselt da https nur die Übertragung schützt und müsste dann wieder verschlüsselt werden um es zum AD zu schicken. Wobei mein Kollege meinte das es nicht zum AD geschickt wird, ka wie das da genau geprüft wird.

Wenn Du Signal-Sign-One haben willst, dann musst Du entsprechend mit Kerberos arbeiten.

Mit Kerberos bin ich mir noch nicht so ganz sicher. Hat man unter Windows automatisch ein Kerberos Ticket oder muss man dazu etwas installieren?

Angenommen der Apache ist jetzt so eingerichtet das er ein Kerberos Ticket akzeptiert, was passiert wenn eine Anfrange von einem Client kommt der keins hat? Gibt es da einen Fallback Mechanismus so dass stattdessen automatisch nach Benutzername & Kennwort gefragt wird?

flashpixx

flashpixx

Geschrieben
Geschrieben
Ja aber das sind ja 2 verschiedene Vorgänge wie ich das sehe.

Also erstens übertragung des Kennworts an den Server. Verschlüsselt wenn über https

Zweitens prüfen des Kennworts am AD. Selbst wenn es hierzu auch wieder verschlüsselt an das AD übertragen wird (oder gar nicht übertragen wird) ist das ja ein anderer Vorgang als Schritt 1.

Das heißt zwischen diesen beiden Schritten wäre es entschlüsselt. Denn sobald es am Server ankommt wäre es ja wieder entschlüsselt da https nur die Übertragung schützt und müsste dann wieder verschlüsselt werden um es zum AD zu schicken. Wobei mein Kollege meinte das es nicht zum AD geschickt wird, ka wie das da genau geprüft wird.

Wo ist dabei ein Problem? Das Passwort wird niemals im Klartext gespeichert, sondern als Hash. Wo letztendlich das Hashing statt findet, musst Du in der Doku nachlesen.

Mit Kerberos bin ich mir noch nicht so ganz sicher. Hat man unter Windows automatisch ein Kerberos Ticket oder muss man dazu etwas installieren?

Angenommen der Apache ist jetzt so eingerichtet das er ein Kerberos Ticket akzeptiert, was passiert wenn eine Anfrange von einem Client kommt der keins hat? Gibt es da einen Fallback Mechanismus so dass stattdessen automatisch nach Benutzername & Kennwort gefragt wird?

Kerberos (Informatik) ? Wikipedia

Apache Tutorial: .htaccess files - Apache HTTP Server

Guybrush Threepwood

Guybrush Threepwood

Geschrieben
  • Autor
Geschrieben
Wo ist dabei ein Problem? Das Passwort wird niemals im Klartext gespeichert, sondern als Hash. Wo letztendlich das Hashing statt findet, musst Du in der Doku nachlesen.

Selbst wenn es nur im Klartext im Speicher liegt ist es imho ein potenzielles Risiko.

Hab meinen Kollegen mal auf das Kerberos Modul angesprochen aber das hat er auch schon mal versucht einzurichten und da gab es wohl größere Probleme in Verbindung mit unserem AD.

Allerdings haben wir uns jetzt so geeinigt das er mir ein extra Passwort dafür eingerichtet hat so dass ich nicht mehr mein Domänenkennwort benutzen muss und wenn anderen Benutzern das Problem egal ist soll mich das jetzt auch nicht weiter stören.

flashpixx

flashpixx

Geschrieben
Geschrieben

Ich bevorzuge bei so etwas meist getrennte Passwortsysteme.

Zum Sicherheitsaspekt: So lange niemand an den Server kommt bzw auf Root-Kits usw achtet, sollte das kein Problem darstellen.

MS hat einen eigenen Artikel zu Kerberos + Apache im Support stehen Providing Active Directory authentication via Kerberos protocol in Apache

Ich hatte es mal testweise mit einem 2003er Server ausprobiert und ich kann nur sagen, die Konfig ist etwas mühselig, aber hat bei mir funktioniert

Guybrush Threepwood

Guybrush Threepwood

Geschrieben
  • Autor
Geschrieben
Ich bevorzuge bei so etwas meist getrennte Passwortsysteme.

Ja so hab ich es ja jetzt zumindest auch für mich :)

Aber ich denke mal das ein paar Kollegen die das jetzt einsetzten müssen auch haben wollen werden.

Zum Sicherheitsaspekt: So lange niemand an den Server kommt bzw auf Root-Kits usw achtet, sollte das kein Problem darstellen.

Ja aber wer stellt das sicher, ich will ja niemandem was unterstellen aber am Ende hat dann doch irgendwer irgendwie zugriff. Da hätte ich immer ein schlechtes Gefühl und ich denk mir keine komplexen nicht nachvollziehbaren Passwörter aus damit sie am Ende irgendwo im Klartext stehen ;)

MS hat einen eigenen Artikel zu Kerberos + Apache im Support stehen Providing Active Directory authentication via Kerberos protocol in Apache

Ich hatte es mal testweise mit einem 2003er Server ausprobiert und ich kann nur sagen, die Konfig ist etwas mühselig, aber hat bei mir funktioniert

Danke :)

Erstelle ein Benutzerkonto oder melde Dich an, um zu kommentieren

Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können

Benutzerkonto erstellen

Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!

Neues Benutzerkonto erstellen

Anmelden

Du hast bereits ein Benutzerkonto? Melde Dich hier an.

Jetzt anmelden
 Teilen
Zur Themenübersicht

Fachinformatiker.de, 2024 by SE Internet Services

fidelogo_small.png

Schicke uns eine Nachricht!

Fachinformatiker.de ist die größte IT-Community
rund um Ausbildung, Job, Weiterbildung für IT-Fachkräfte.

Links

Fachinformatiker.de App

Download on the App Store
Get it on Google Play

Kontakt

Hier werben?
Oder sende eine E-Mail an

Social media u. feeds

Jobboard für Fachinformatiker und IT-Fachkräfte

×
×
  • Neu erstellen...