Matze: SSO over Internet

Sorry ich mach den Thread nochmals auf....

beim letzen Thread sind wir ja beim einen oder anderen Problem gelandet.

Auch wenn man diese Session bzw. usr Daten Verschlüsselt verdenden kann besteht doch noch die Gefahr, das diese durch einen Trojaner abgegriffen werden.
Bei der ersten Idee war ja gmeint, dass dem Icon für eine bestimmte Anwendung die Login Daten hinterlegt sind. Problem jedoch ist, auch bei Verschlüsselung könnte ein Trojaner diese Lokal abgreifen.
Da nun eine Session zeitlich begrenzt ist, jedoch Login infos wie Benutzername und Passwort eine zeitlich längeren Lebenzyklus haben solle auf die angab Benutzername und Passwort verzichtet werden.

Für alle die den anderen inzwichen Archivierten Thread nicht kennen.
Meine Frage war, ob es eine SSO technologie gibt, ähnlich wie es Microsoft mit MSN etc. realisiert.

Die ersen Ideen dazu könnt Ihr eigentlich alle vergessen und werde ich nicht nochmals erwähnen.
Technisch sieht das ganze so aus:

Es gibt ein Intranet bzw. extranet in welchem unterschiedliche Benutzer über einen zentrallen Logon Server sich anmelden und dann ohne weitere Anmeldungen aufunterschiedlichste Server zugreifen können. Mit den Unterschiedlichen Server sind vorzugsweise Webanwendungen gemeint.

Die letzte Überlegung dazu war nun diese, und sollte eigentlich wirklich sicher sein, bis auf extreme hackr Attacken:

Der Logon Server handelt täglich einen Entschlüsselungscode mit den jeweiligen Appserver aus.

Der Benutzer lot sich nun auf dem Logon Server ein und erhält einen oder zwei validierungsschlüssel. Diese dienen wie z.B: Benutzername und Passwort nur Session bezogen für das Login auf dem jeweiligen Apserver. Der Benutzer muss jedoch nicht`s tun, da links auf einer Page mit den für Ihn verfügbaren Anwendungen schon die Anmeldungsschlüssel enthalten.

Der die jeweilige(n) Schlüssel beinhalten unter anderem auch die Information der IP Adresse des Anwenders. Das macht es für Kenner der Login Id noch schwehrer auf einem falschen account zu arbeiten.

Der Anwendungsserver selbst weiss nun nicht durch den Lgon Server wer angemeldet ist und wer nicht.

Dieses muss er mit dem Schlüsselpaar des Anwenders und des Logon Server selber feststellen.

Ausserdem, weiss der Appserver dann auch auf welche IP r hören muss und welche z.B. nicht aktzeptiert wird, da der Benuzer nicht der physikaisch richtige ist.

Voreile darin sehe ich aus mehreren Gründen:

1. Würde mit dem Verfahren selbst wenn ein Hacker die Id ergattert und den Appserver um die IP Adresse bescheisst, noch lange nicht de Login sowie Passwort herausfinden und könnte nut innerhalb einer Session unfug anstellen.

2. Müsste man nicht mit einer erhöten performance Last rechnen, wenn zu spitzen Zeiten sic mehrer Benutzer gleichzeitig Anmelden. Hierbei sendet der Logon Server keine Informationen an die weiteren Appserver.
Bei eine annahme von 10 000 Benutzer und weit übr 100 Anwendungen wäre dies durchaus eine hohe performance Last.

3. Da sich die Benutzer bisher ohnehin am Apserver anmelden würde sich aus Sicht der perforance nicht`s wesentliches ändern. Allerdings würden die Benutzer sich nur dann einloggen, wenn es absolut notwendig wäre.

Gruss Matze

  1. Wer will das wissen Dummbatz??

      1. Hallo.

        http://forum.de.selfhtml.org/archiv/2003/7/53658/#m297802

        Wie ich in einem anderen Beitrag schon geschrieben habe, hatte sich da wohl jemand einen Scherz erlaubt -- zwar auf meine Kosten, aber ich hab's ja ;-)
        Im von dir verlinkten Thread melde ich mich übrigens auch zu Wort, und zwar durchaus nicht unflätig.
        Dieser Thread hier interessiert mich eigentlich gar nicht und ich bin nur auf ihn aufmerksam geworden, da ich vermutet hatte, zum falschen Beitrag gepostet zu haben. -- Ein Irrtum, denn so hätte ich mich sicher zu keinem Thema geäußert.
        MfG, at

        1. Hi at,

          Wie ich in einem anderen Beitrag schon geschrieben habe, hatte sich da wohl jemand einen Scherz erlaubt -- zwar auf meine Kosten, aber ich hab's ja ;-)

          Jepp, habe ich gelesen, aber erst nachdem ich dieses Posting verschickt hatte.

          Im von dir verlinkten Thread melde ich mich übrigens auch zu Wort, und zwar durchaus nicht unflätig.

          Du warst dort auch nicht angesprochen, oder ist "Frank Blöd" ein Pseudonym von dir ;-)

          BTW ist virtuelle Paranoia wohl der neue Volkssport geworden. Wird Zeit, dass die Ferien vorbei sind.

          Viele Grüße
          Torsten

          1. Hallo.

            Du warst dort auch nicht angesprochen, oder ist "Frank Blöd" ein Pseudonym von dir ;-)

            Bisher jedenfalls nicht ;-)
            Allerdings hatte ich mir den Thread auch gar nicht weiter durchgelesen, nachdem ich festgestellt hatte, dass mein Beitrag tatsächlich von mir stammte.

            BTW ist virtuelle Paranoia wohl der neue Volkssport geworden. Wird Zeit, dass die Ferien vorbei sind.

            Wer sind Sie und was wollen Sie von mir? ;-)
            MfG, at

    1. Holladiewaldfee,

      Wer will das wissen Dummbatz??

      Kann es sein, daß Du hier primär mal zum Motzen und Dampfablassen aufgetaucht bist?

      [pref:t=53950&m=299322]
      [pref:t=53940&m=299310]
      [pref:t=53938&m=299317]
      [pref:t=53951&m=299329]

      Wenn Du nichts Produktives zu sagen hast und hier nur rumtrollen willst machst Du Dich am besten ganz schnell wieder vom Acker!

      Ciao,

      Harry

      --
        Intelligenz ist nicht zwingend etwas positives.
        Man weiß erst, was man hatte, wenn man es verloren hat.
      1. Servus,
        Einfach ignorieren....

        Solche verlieren dann automatisch die Lust.
        Aber solange Ihr darauf antwortet wird es ja interesant für bestimmte Personen hier irgend einen Misst zu Posten.

        Gruss Matze

  2. Hallo,

    Sorry ich mach den Thread nochmals auf....

    Sorry Du bist zu dumm um zu kapieren. Dir wird niemand Antworten und Dein Misst langweit uns sowieso.

    MFG, at

    1. Holladiewaldfee,

      Sorry Du bist zu dumm um zu kapieren. Dir wird niemand Antworten und Dein Misst langweit uns sowieso.

      Sorry, Du hast Dich ordentlich im Ton vergriffen.
      Wenn Du nichts zu sagen hast, dann laß es.

      Im Übrigen bezieht er sich auf den Thread http://forum.de.selfhtml.org/archiv/2003/7/53681/, in dem ich keinerlei Mitwirken von Dir entdecken kann, daß Deine Aussage rechtfertigen würde.

      Ciao,

      Harry

      --
        Intelligenz ist nicht zwingend etwas positives.
        Man weiß erst, was man hatte, wenn man es verloren hat.
      1. Hallo.

        Sorry, Du hast Dich ordentlich im Ton vergriffen.
        Wenn Du nichts zu sagen hast, dann laß es.

        Um hier ein Missverständnis zu klären: Für Imitatoren und Nick-Napper kann ich leider keine Verantwortung übernehmen. Und dieser hatte ja noch nicht einmal einen Punkt hinter sein "Hallo" gesetzt ;-)
        Dass _meine_ Beiträge ziviler ausfallen, wirst du vielleicht schon festgestellt haben.
        MfG, at

        1. Holladiewaldfee,

          Um hier ein Missverständnis zu klären: Für Imitatoren und Nick-Napper kann ich leider keine Verantwortung übernehmen. Und dieser hatte ja noch nicht einmal einen Punkt hinter sein "Hallo" gesetzt ;-)

          Owei ... wird Zeit, daß das Name-Schützen-Feature aktiviert wird. Wenn ich C könnte würde ich ja glatt mithelfen, ich kann's aber leider nicht. Genausowenig wie Perl ...

          Dass _meine_ Beiträge ziviler ausfallen, wirst du vielleicht schon festgestellt haben.

          Ja, das weiß ich. Deswegen war ich auch leicht verwirrt und hab's mal vorsichtshalber auf verdorbenes Essen geschoben ;)

          Ciao,

          Harry

          --
            Intelligenz ist nicht zwingend etwas positives.
            Man weiß erst, was man hatte, wenn man es verloren hat.
          1. Servus,

            Um hier ein Missverständnis zu klären: Für Imitatoren und Nick-Napper kann ich leider keine Verantwortung übernehmen. Und dieser hatte ja noch nicht einmal einen Punkt hinter sein "Hallo" gesetzt ;-)

            Ist mir eigentlich egal und auch das letzte mal, dass ich darauf bezug nehme. Postings von at kamen oft genug vor, welche für nicht mehr als , ich zitiere "Bullshit Bingo" taugen.
            Schöner Ausdruck ich bin begeistert.

            Deshalb ignoriere Ich ohnehin die Antworten von at.

            Owei ... wird Zeit, daß das Name-Schützen-Feature aktiviert wird. Wenn ich C könnte würde ich ja glatt mithelfen, ich kann's aber leider nicht. Genausowenig wie Perl ...

            Ja das wäre kein Fehler ganz offen gestanden wenn man den Namen hier schützen könnte.

            Dass _meine_ Beiträge ziviler ausfallen, wirst du vielleicht schon festgestellt haben.

            Vieleicht aber trotzdem nicht Sinnvoller.

            Grus Matze

            1. Moin,

              Ist mir eigentlich egal und auch das letzte mal, dass ich darauf bezug nehme. Postings von at kamen oft genug vor, welche für nicht mehr als , ich zitiere "Bullshit Bingo" taugen.
              Schöner Ausdruck ich bin begeistert.

              Wie, du kanntest Bullshit-Bingo noch nicht? Das ist doch *das* Spiel für gelangweilte Techniker in Meetings: http://www.perkigoth.com/home/kermit/stuff/bullshitbingo/.

              --
              Henryk Plötz
              Grüße aus Berlin
              ~~~~~~~~ Un-CDs, nein danke! http://www.heise.de/ct/cd-register/ ~~~~~~~~
              ~~ Help Microsoft fight software piracy: Give Linux to a friend today! ~~
              1. Holladiewaldfee,

                Wie, du kanntest Bullshit-Bingo noch nicht? Das ist doch *das* Spiel für gelangweilte Techniker in Meetings: http://www.perkigoth.com/home/kermit/stuff/bullshitbingo/.

                Geil :)
                Gibt's das auch irgendwo auf Deutsch?

                Ciao,

                Harry

                --
                  Intelligenz ist nicht zwingend etwas positives.
                  Man weiß erst, was man hatte, wenn man es verloren hat.
                1. Hallöle!

                  ... http://www.perkigoth.com/home/kermit/stuff/bullshitbingo/.

                  Gibt's das auch irgendwo auf Deutsch?

                  Das Spiel nicht - aber den entsprechenden Phrasengenerator: http://www.megpalffy.org/bullshit/bullshit.html. Danach ist ein deutschsprachiger Spielentwurf nur noch ein Klacks!

                  File Griese,

                  Stonie

                  --
                  <img src="http://www.nefkom.net/asteinmann/banner_map2003.gif" border="0" alt="">
                  http://selftreffen.kuemmi.ch/http://selftreffen.kuemmi.ch/
                2. Moin Harry,

                  Gibt's das auch irgendwo auf Deutsch?

                  Ja, bei Heise: http://www.heise.de/bin/bbingo.pl

                  Grüße Andres Freund

                  --
                  ss:) zu:) ls:} fo:) de:] va:) ch:| n4:& rl:° br:^ js:( ie:% fl:( mo:|
                  1. Ich habe begriffen, was ihr meint....

                    Naja unsere Meetings sind nicht so langweilig ausserdem würde derartiges sofort auffallen. In unserem Unternehmen gibt es kein Fachidioten Management.

                    Gruss Matze

  3. Moin,

    beim letzen Thread sind wir ja beim einen oder anderen Problem gelandet.

    Ohne den anderen Thread zu kennen sehe ich das Problem nicht. Kerberos oder NTLM existieren.

    --
    Henryk Plötz
    Grüße aus Berlin
    ~~~~~~~~ Un-CDs, nein danke! http://www.heise.de/ct/cd-register/ ~~~~~~~~
    ~~ Help Microsoft fight software piracy: Give Linux to a friend today! ~~
    1. Holladiewaldfee,

      Ohne den anderen Thread zu kennen sehe ich das Problem nicht. Kerberos oder NTLM existieren.

      Er meint </archiv/2003/7/53681/>.

      Ciao,

      Harry

      --
        Intelligenz ist nicht zwingend etwas positives.
        Man weiß erst, was man hatte, wenn man es verloren hat.
      1. Moin,

        Er meint </archiv/2003/7/53681/>.

        Hmm, na dann. Bei SSO denke ich immer eher an Firmenanwendungen im Intranet oder höchstens noch Aussendienstmitarbeiter mit vorgefertigten Laptops. Da ist es dann weniger ein Problem sich vorher auf Anwendungen festzulegen die alle NTLM (zum Beispiel) können und dann läuft das angeblich transparent. Das hat Microsoft zugegebenerweise gut hingekriegt. Aber Matze scheint hier eine breitere Anwendung vorzuschweben die noch dazu mit verbreiteten Browsern kompatibel ist.

        Da fällt mir dann auch höchstens noch die Liberty Alliance ein, auch wenn ich davon nicht viel mehr als die Meldung im Heise-Ticker kenne. (Hmm, das was Google da so ausspuckt taugt aber prima zum Bullshit-Bingo-Spielen.)

        --
        Henryk Plötz
        Grüße aus Berlin
        ~~~~~~~~ Un-CDs, nein danke! http://www.heise.de/ct/cd-register/ ~~~~~~~~
        ~~ Help Microsoft fight software piracy: Give Linux to a friend today! ~~
        1. Servus,

          Er meint </archiv/2003/7/53681/>.

          ja genau den meinte Ich den Thread.

          Hmm, na dann. Bei SSO denke ich immer eher an Firmenanwendungen im Intranet oder höchstens noch Aussendienstmitarbeiter mit vorgefertigten Laptops. Da ist es dann weniger ein Problem sich vorher auf Anwendungen festzulegen die alle NTLM (zum Beispiel) können und dann läuft das angeblich transparent. Das hat Microsoft zugegebenerweise gut hingekriegt. Aber Matze scheint hier eine breitere Anwendung vorzuschweben die noch dazu mit verbreiteten Browsern kompatibel ist.

          Ebenfalls richtig. Von einigen Projekten und Kunden kommt immer öfters die Anfrage nach einem SSO Mechanismus für Webanwendugnen.
          Zwar haben einige Unternehmen so z.B. SAP und Co. eigene Mechanismen fü SSO jedoch ziehen die nur in einer Sicher Umgebung bzw. einem sicheren Netzwerk, damit meine Ich jedoch nicht SSL verbindungen,  jedoch leider nicht für Webanwendunge selbst. Wer erlaubt schon eine Domänen Anmeldung übers Internet?

          Da fällt mir dann auch höchstens noch die Liberty Alliance ein, auch wenn ich davon nicht viel mehr als die Meldung im Heise-Ticker kenne. (Hmm, das was Google da so ausspuckt taugt aber prima zum Bullshit-Bingo-Spielen.)

          *grins ja leider darauf bin ich auch schon gestossen.

          Gruss Matze

  4. Hi Matze,

    Meine Frage war, ob es eine SSO technologie gibt, ähnlich wie es Microsoft mit MSN etc. realisiert.

    hm - Deine Frage scheint eine der wenigen zu sein, die dieses Forum überfordern. ;-)

    Da aber das, was Du erreichen willst, im Prinzip Sinn zu machen scheint, überlege ich, ob Deine Suche eher im Bereich von Gleichgesinnten fortgesetzt werden sollte.
    Hast Du mal eine systematische Suche z. B. innerhalb von SourceForge gemacht, ob es dort Projekte gibt, die ungefähr in Deine Richtung gehen? (Das wären dann allerdings eher keine kurzfristigen Lösungen - aber vielleicht bist Du wirklich auf Neuland geraten.)

    Viele Grüße
          Michael

    --
    T'Pol: I apologize if I acted inappropriately.
    V'Lar: Not at all. In fact, your bluntness made me reconsider some of my positions. Much as it has now.
    (sh:| fo:} ch:] rl:( br:^ n4:( ie:% mo:) va:| de:/ zu:| fl:( ss:) ls:~ js:|)
     => http://www.peter.in-berlin.de/projekte/selfcode/?code=sh%3A|+fo%3A}+ch%3A]+rl%3A(+br%3A^+n4%3A(+ie%3A%25+mo%3A)+va%3A|+de%3A%2F+zu%3A|+fl%3A(+ss%3A)+ls%3A~+js%3A|
    Auch diese Signatur wird an korrekt konfigurierte Browser gzip-komprimiert übertragen.
    1. Servus,

      hm - Deine Frage scheint eine der wenigen zu sein, die dieses Forum überfordern. ;-)

      Da aber das, was Du erreichen willst, im Prinzip Sinn zu machen scheint, überlege ich, ob Deine Suche eher im Bereich von Gleichgesinnten fortgesetzt werden sollte.
      Hast Du mal eine systematische Suche z. B. innerhalb von SourceForge gemacht, ob es dort Projekte gibt, die ungefähr in Deine Richtung gehen? (Das wären dann allerdings eher keine kurzfristigen Lösungen - aber vielleicht bist Du wirklich auf Neuland geraten.)

      Jawoll damit ae ich schon einige Foren abgegrasst aber ein konzept ds dann auch noch von einer Vetrauenswürdigen Stelle kommt gibt es nicht.

      Gruss Matze

      PS. Die Lösung steht eigentlich schon fest +- wenige kleinigkeiten und wollte die, die es interesiert davon Informieren.