nicht angemeldet
Single-Sign-On im Intranet - wie?
0 0
0
Single-Sign-On im Intranet - wie?
Der MartinHallo!
Ich möchte in einem Intranet eine SSO-Lösung einrichten. Ziel: Alle User der Firma loggen sich morgen an Ihrem Windows-Domänen-Acoount ein, und ohne weitere Logins bekommt Frau A von Abteilung AAA "ihre" Web-Anwendung zu sehen, und Herr B aus der Abteiling BBB die seinige.
Nun habe ich mittlerweile via Suchmaschinen herausgefunden, daß dies wohl mit LDAP (stünde übrigens zur Verfügung) gehen soll. Aber mir fehlt das prinzipielle Verständnis für diese Technik. Woher "weiß" denn meine Anwendung (Intranetserver/PHP/IIS 5.0, daran kann ich nichts ändern), daß es sich gerade um Frau A oder Herrn B handelt? Das liefert der Browser doch nicht mit?! Wie also spielen all diese Dinge zusammen?
Fragend,
Martin
-
Hallo,
http://de.wikipedia.org/wiki/Single_Sign_On für den Anfang.
gruss
--
no strict;
no warnings;
"May I introduce you to OSX. It even runs on cheap intel hardware."
"I doubt that. It could run on cheap intel hardware, but Apple will restrict to expensive Apple hardware, which consists of cheap Intel hardware."
-
Danke (für den Anfang ;-))! So richtig weitergeholfen hat das leider nicht, denn einen Kerberos-Server kann ich mir nicht hinstellen. Zudem wäre dann immer noch unklar, woher meine Webanwendung "weiß", ob es sich um Frau A oder Herrn B handelt, vor allem dann, wenn ich von einer Cookie-basierten Lösung absehe. Mir kommt langsam der Verdacht, daß die Lösung wie ich sie mir vorstelle, überhaupt nicht geht - kann das sein? Oder läßt sich möglicherweise über ASP (der IIS 5.0 'kann' es ja) der User herausbekommen und über diesen Umweg etwas basteln?
-
Hi, lieber Namensvetter,
Zudem wäre dann immer noch unklar, woher meine Webanwendung "weiß", ob es sich um Frau A oder Herrn B handelt, vor allem dann, wenn ich von einer Cookie-basierten Lösung absehe.
Ich kenne mich mit der Thematik auch nicht so recht aus - aber beim Internet Explorer gibt's in den Sicherheitseinstellungen eine Option "Automatisches Anmelden". Kann es sein, dass es das Mosaiksteinchen ist, das dir noch fehlt? Da kann man nämlich einstellen, dass der IE sich, wenn nach User/Password gefragt wird, sofort mit den Windows-Anmeldedaten identifizieren soll (wahlweise nur im Intranet).
Hilft dir das weiter?
So long,
Martin
-
Hi DER Martin!
Ja, das hatte ich bislang glatt übersehen - ein guter Tip von Dir! Damit ist auch langsam klar, worauf die Sache hinausläuft: Windows (Browser), Windows (Server), Windows (überall)...;-) Ok, mal sehen, wie sich das i.d. Praxis gestalten wird.
Ich mag allerdings noch nicht ganz aufstecken, viell. hat ja jemand im Forum eine Lösung parat, die ohne IE-Browser und ohne IIS funktionieren würde. Szenario: ich habe verschiedenste Nicht-MS-Browser und die Anwendung läuft auf LAMP - was dann? Nur noch Cookie setzen möglich?
Bis bald, der MARTIN
-
Hi,
also ohne den IE ist mir derzeit keine Lösung bekannt, aber diese "automatisches Anmelden"-Version kann man auf den Apache portieren. Such mal nach mod_auth_sspi, das ist ein Modul für den 2.x Apache, das diese Windows-Authentifizierung mitspielt.
MfG
Rouven--
-------------------
ss:) zu:) ls:& fo:) de:< va:{ ch:? sh:) n4:( rl:? br:$ js:| ie:) fl:(-
Hi Rouven!
Hey,das hört sich wirklich gut an! Danke für den Tip :-)
Schönen Tach,
Martin
-
-
-
-
-
-
Hi,
es gibt da z.B. ein ActiveX-Plugin namens WScript. Das liefert dir folgendermaßen:<script type="text/javascript"> var wScript = new ActiveXObject("WScript.Network"); document.loginform.user.value = wScript.UserName; </script>den Benutzernamen in das Feld user des Formulars loginform (kannst du natürlich selbstständig anpassen).
Zur automatischen Anmeldung kann ich dir NTLM empfehlen. Ich habe da auch mal ein PHP-Skript zu geschrieben (kannst du gerne haben), damit meldet sich der Browser automatisch an. Aber Achtung! Der Server muss in der Intranet-Zone eingetragen sein! Bei mir hier ist das Problem, dass die "Intranet"-Rechner alle IP-Adressen aus 131.*.*.* haben und somit in die Internetzone gesteckt werden. Aus gutem Grund liefert dann der Browser den Benutzernamen nicht aus. Zusätzlich darf ich wegen der Admins die Zoneneinstellungen auch nicht ändern oder Seiten zu Zonen hinzufügen. :-(
Aber wenn das bei dir kein Hindernis ist, würde ich es mal damit versuchen!Gruß,
Der Yeti--
Habe nun, ach! WInfo, BWL, und Mathe, Und leider auch Info!
Durchaus studiert, mit heißem Bemühn. Da steh' ich nun, ich armer Thor!
Und bin so klug als wie zuvor!
sh:( fo:| ch:? rl:? br:< n4:& ie:( mo:| va:| de:[ zu:) fl:| ss:) ls:< js:|
[Link:http://community.de.selfhtml.org/fanprojekte/selfcode.htm]