httpd-users-de mailing list archives

Site index · List index
Message view « Date » · « Thread »
Top « Date » · « Thread »
From "Steffen Heil" <li...@steffen-heil.de>
Subject RE: AW: AW: LDAP-Auth. auf mehreren Apache-Servern ->Single Sign-On
Date Wed, 09 Mar 2005 08:57:36 GMT
Hi

> Sollte meine gewünschte Funktion mit Cookies lösbar sein, 
> dann nehm ich doch aber an, wenn ihr von PHP-Funktionen 
> redet, daß ich ohne Programmierung nicht weiterkomme. Ist das richtig?

Mit reiner Konfiguration kannst du dein Vorhaben vergessen.

> Ich habe zunächst gehofft, daß ich mit dem selben "AuthName" 
> das mehrmalige Prompten der Passwortabfrage verhindern kann. 

Nein, natürlich nicht.
Stell dir vor jemand gibt seiner Seite den AuthName von ebay.de. Nach deiner
Vorstellung würde dann der Browser beim betreten der Seite die ebay-Login
fleißig ausplaudern... Nein....

> Kann irgendjemand bezüglich der Cookies eine gesicherte 
> Aussage treffen und mir vielleicht auch mit Beispielen 
> weiterhelfen oder einen anderen Lösungsvorschlag unterbreiten?

In der Tat kannst du das so einfach gar nicht umsetzen.
Cookies und alles andere (z.B. gespeicherte Kennworter) werden per-Host
gespeichert. Sobald du irgendwo einen direkten Link auf eine andere Domain
hast, ist dein Login futsch. Das kannst du als gesichert annehmen.

Was unser CMS z.B. macht: Es erkennt (unter bestimmten Umständen) Links auf
andere Domains, die auf demselben Serververbund laufen und ersetzt die Links
in die fremde Domain gegen Links auf ein spezielles Wechselmodul. Dieses
erzeugt einen eindeutigen Zufallscode und speichert in einer Datenbank zu
diesem Code alle Logindetails. Dann wird weitergeleitet auf ein passendes
Gegenstück auf dem anderen Server, mit dem Zufallscode als Parameter. Dieses
Modul wiederum liest die Logindetails aus der Datenbank, trägt diese wieder
in der Session ein und geht dann auf die eigentlich erbetene Seite. Die
Zufallscodes sind "lang genug" und nur 1 Sekunde gültig.

Das erfordert insbesondere viel Planung und programmierarbeit im Backend,
alsauch die Modifikation aller Links zwischen den beteiligten Seiten.

Ähnlich funktionieren übrigens Single-Sign-In-Dienste, die du eventuell für
dein Login verwenden kannst, wie z.B. passport.com, nur nehmen die dir viel
Arbeit ab.

Gruß,
  Steffen

Mime
View raw message