Indico Meeting Dennis Klein 8. September 2008
Übersicht Subversion LDAP Authentifizierung Variante1 (ohne SSO) Variante 2 (SSO) ESSO Variante 2 (SSO) Wie Authentifizierungsmodul implementieren ?!
Subversion https://subversion.gsi.de/gsi-admin/trunk/www/indico Webfrontend: https://subversion.gsi.de/trac/gsi- admin/browser/trunk/www/indico
LDAP Authentifizierung Variante 1 verfügbar und funktioniert. Sollte als Übergangslösung bis zur Fertigstellung von Variante 2 verwendet werden. SSL-Server notwendig Installationsaufwand 2 Stunden.
Account aktivieren per Link Variante1 (ohne SSO) LDAP Server Indico User LOGIN: UID, Passwort CHECK: UID, Passwort Ergebnis CHECK Falls neuer User im Indico Abfrage Userdaten Aktivierungsmail Erstelle User Account aktivieren per Link
Variante1 (ohne SSO) LDAP Server Indico User LOGIN: UID, Passwort CHECK: UID, Passwort Kritisch: Sicherheit über Passwort liegt in Verantwortung von Indico! Ergebnis CHECK Falls neuer User im Indico Abfrage Userdaten Aktivierungsmail Erstelle User Account aktivieren per Link
Variante 2 (SSO) ESSO ESSO := external Single Sign On Im Gegenteil zum OSSO (Oracle Single Sign On) können Anwendungen, die ESSO verwenden, auch auf nicht Oracle Application Servern deployed werden. OAS Nachteile: Lizenzgebühren, Versionskonflikte (z.B. veraltete Apacheversion) ESSO „exportiert“ OSSO Funktionalität auf nicht Oracle Server. ESSO API basiert auf HTTP http://wiki.gsi.de/cgi-bin/view/Oracle/ESSO Vortrag IT-Palaver im November
Variante 2 (SSO) ESSO Indico User OSSO Loginanfrage ESSO API Redirect auf Login Server LOGIN: UID, Pass. Anmeldung am zentralen, sicheren Login Server LOGIN: Token Token CHECK: Überprüfung der Gültigkeit des Tokens Falls neuer User im Indico, wie bei Variante 1 Abfrage der Userdaten aus dem LDAP Server.
✔ Variante 2 (SSO) ESSO Indico User OSSO Passwort wird nur an sicheren Loginserver übergeben. Indico trägt nur Verantwortung für schwächeres, temporäres Token! Loginanfrage ESSO API Redirect auf Login Server ✔ LOGIN: UID, Pass. Anmeldung am zentralen, sicheren Login Server LOGIN: Token Token CHECK: Überprüfung der Gültigkeit des Tokens Falls neuer User im Indico, wie bei Variante 1 Abfrage der Userdaten aus dem LDAP Server.
Variante 2 (SSO) Wie Authentifizierungsmodul implementieren ?! Für gewöhnlich kapselt man mit einem sogenannten Authentifizierungsmodul die Aufgaben LOGIN und CHECK (und LOGOUT). Die Webanwendung (z.B. Indico) sieht nur noch die Umgebungsvariable REMOTE_USER. Mögliche Implementierung durch natives Apache Modul/Plugin. Einarbeitung nötig, Anschaffung von Literatur. Alternative: Verzicht auf AuthModul und Implementierung im Indico selbst Ebenfalls nicht einfach, unsauber, Patchproblem.