ILIAS SINGLE-SIGN-ON MIT APACHE UND KERBEROS

Transkript

1 ILIAS SINGLE-SIGN-ON MIT APACHE UND KERBEROS

2 INHALTSVERZEICHNIS VORSTELLUNG AUSGANGSSITUATION ZIELE TECHNISCHE HINTERGRÜNDE KONFIGURATIONSSCHRITTE FALLSTRICKE RESULTAT AUSBLICK

3 KURZVORSTELLUNG

4 KURZVORSTELLUNG SRH Berufliche Rehabilitation GmbH Maßnahmen zur Beruflichen Rehabilitation nach SGB Kaufmännische, technisch-gewerbliche und IT- Ausbildungen Arbeitsmarktintegration 2-jährige Präsenzmaßnahmen und Kurzmaßnahmen Ca. 550 Teilnehmer ILIAS seit 2008 im Einsatz, anfangs 3.10, aktuell

5 KURZVORSTELLUNG SRH Berufliche Rehabilitation GmbH Hauptstandort Heidelberg mehrere Filialen > Von Kassel > Bis Friedrichshafen

6 KURZVORSTELLUNG Ingo Jackisch Meine Funktionen > Dozent für Netzwerktechnik, Betriebssysteme seit 1993 > Kommunikation mit unserem IT-Dienstleister > Koordination unseres internen Support > Einsatzplanung der Lehrkräfte > Betreuung unserer ILIAS- Systeme

7 AUSGANGSSITUATION

8 AUSGANGSSITUATION Nutzerkonten Konten für (fast) alle Nutzer in Active Directory vorhanden Verwaltung durch externen Dienstleister Mehrere Gesamtstrukturen Ankopplung mittels LDAP und Radius, automatische Erstellung Keine getrennten Nutzernamen/Kennwörter für Arbeitsstationsund ILIAS- Anmeldung Teilweise ILIAS Rollenzweisung mittels LDAP Gruppen

9 ZIELE

10 ZIELE Single-Sign-on bei interner Nutzung "Durchreichen" des Arbeitsstations-Login bei interner Nutzung Normales ILIAS-Login bei externer Nutzung Wenig Änderungen an der gewohnten Bedienung Verringerung des administrativen Aufwands Erhalt aller bisheriger Möglichkeiten (Live-Demonstration)

11 ZIELE Single-Sign-on bei interner Nutzung Kerberos Externer Browser Interner Browser Login/ Tickets Logindaten Weitergabe ILIAS/ Apache

12 TECHNISCHE HINTERGRÜNDE

13 TECHNISCHE HINTERGRÜNDE ILIAS-Login ohne Apache Normaler ILIAS Login: > Anmeldeseite > ILIAS sucht Nutzerkonto und Authentifizierungsdaten in der Datenbank > ggf. externe Quelle abfragen (Radius,LDAP) > ggf. Rollenmitgliedschaft und Nutzerdaten extern abfragen

14 TECHNISCHE HINTERGRÜNDE ILIAS-Login mit Apache Bei Aufruf der ILIAS Site (oder bei Aufruf der Anmeldung) > Zugriffsversuch auf ILIASDIR/sso > Authentifizierung durch Apache Server (.htaccess, Site- Konfiguration) > Beliebige von Apache unterstützte Authentifizierung > Auswertung der konfigurierten Variablen > Bestimmung des Nutzerkontos und laden der Nutzerdaten > ggf. Daten via LDAP abrufen Problematisch: Weiterleitung bei Anmeldefehlern

15 TECHNISCHE HINTERGRÜNDE ILIAS-Login

16 TECHNISCHE HINTERGRÜNDE Kerberos (vereinfacht) Kommunikation der Partner durch verschlüsselte Tickets Kerberos Server kennt die Schlüssel aller Beteiligten > (Eigenen Schlüssel, Nutzer, Arbeitsstation, ILIAS/ SPN) Keine direkte Kommunikation ILIAS <-> Kerberos, nur der Schlüssel muss übermittelt werden Im Active Directroy - Umfeld sind regelmäßige Schlüsselwechsel üblich, diese werden aber von der Arbeitsstation/ dem Service gesteuert

17 TECHNISCHE HINTERGRÜNDE Kerberos (vereinfacht) ILIAS Browser Kerberos > Nach Aufruf (des Login) fordert ILIAS Anmeldeinformationen beim Browser an > Browser fordert beim Kerberos Server ein Serviceticket für ILIAS > Kerberos erstellt Logininformationen und Sitzungsschlüssel für ILIAS und verschlüsselt diese mit dem Schlüssel für den SPN > Kerberos verschlüsselt dieses Ticket und den Sitzungsschlüssel mit dem Schlüssel des Users Logindaten anfordern Service- Ticket holen Userdaten entschlüsseln Ticket für ILIAS verschlüsseln Ticket mit Userdaten verschlüsseln

18 TECHNISCHE HINTERGRÜNDE Kerberos (vereinfacht) ILIAS Browser Kerberos > Browser erhält die Informationen vom Kerberos Server > Browser entschlüsselt Nutzerticket > Das enthaltene Serviceticket wird an Apache weitergegeben > Apache entschlüsselt das Serviceticket und ermittelt Anmeldeinformationen des Nutzers Login Ticket für ILIAS entschlüsselt Ticket mit Userdaten verschlüsselt

19 KONFIGURATIONEN

20 KONFIGURATIONEN ILIAS- Server /etc/krb5.conf Kerberos Basisinformationen Krb5.keytab Schlüssel für SPN Apache-site/.htaccess Authentifizierungseinstellungen /etc/samba/smb.conf (Falls Samba verwendet)

21 KONFIGURATIONEN Active Directory (Kerberos) Maschinenkonto für SPN und Schlüssel, DNS

22 KONFIGURATIONEN ILIAS Apache Login konfigurieren, ggf. Patches

23 KONFIGURATIONEN ILIAS Apache Login konfigurieren, ggf. Patches

24 KONFIGURATIONEN Browser Kerberos Negotiate einschalten > (Chrome: Kommandozeilen- Option)

25 STANDARD- ILIAS/ PATCHES

26 STANDARD-ILIAS/ PATCHES Vergleich Apache/ Kerberos mit ILIAS ohne Anpassungen nutzbar > Apache muss als Standard-Loginmethode aktiviert sein > LDAP- Daten eingeschränkt nutzbar > User sehen ggf. Apache- Anmeldefenster

27 STANDARD-ILIAS/ PATCHES Vergleich Mit Anpassungen am Quellcode > Apache darf nicht als Standard-Loginmethode aktiviert sein > LDAP- Daten incl. Rollenzuweisung per LDAP- Gruppenmitgliedschaft nutzbar > Normales Login- Verhalten bleibt weitgehend erhalten > Öffentlicher Bereich ändert sich nicht > Mantis:

28 FALLSTRICKE

29 FALLSTRICKE Beim Einrichten beachten: Uhrzeiten ILIAS und Kerberos müssen eng abgeglichen sein > z.b. Cronjob für ntpdate DNS- Einträge müssen gleiche Resultate liefern > Vorsicht mit cnames und Einträgen in hosts Active Directory verwendet Versionsnummern der Schlüssel Kerberos Realms müssen GROß GESCHRIEBEN werden > Anleitung siehe goto_docu_pg_56871_367.html

30 RESULTAT

31 RESULTAT ILIAS mit Kerberos seit ca. Mai 2014 im Einsatz Positive Resonanz seitens der Nutzer Zugriff von extern unverändert Intern vereinfachter Zugriff Admin- Aufwand nach Einrichtung gering

32 AUSBLICK

33 AUSBLICK Weitere Optionen Komplette Umstellung des Login auf Apache > Mehrere LDAP/RADIUS/ - Quellen > Kombination mit Kerberos und LDAP > Mehrere Gesamtstrukturen mit/ohne Vertrauen möglich ILIAS- Loginmethoden weiter funktionsfähig

34 VIELEN DANK FÜR IHRE AUFMERKSAMKEIT