Shibboleth und Kerberos in gemischten Umgebungen Erfahrungen und Grenzen

Ähnliche Dokumente
Office 365 Active Directory Federation Services Shibboleth

Nachnutzung des Windows Login in einer SAML-basierten. Föderation mittels Shibboleth Kerberos Login Handler

Inhalt Einführung Was ist SAML Wozu braucht man SAML Wo wird SAML verwendet kleine Demo SAML. Security Assertion Markup Language.

1. Integration von Liferay & Alfresco 2. Single Sign On mit CAS

Steffen Hofmann Freie Universität Berlin ZEDAT Identity and Customer Management (ICM) Aktueller Stand Shibboleth IdP3

Dezentrales Identity Management für Web- und Desktop-Anwendungen

Shibboleth IdP-Erweiterungen an der Freien Universität Berlin

Single Sign-On Step 1

Enterprise Web-SSO mit CAS und OpenSSO

LDAP-Anbindung der REDDOXX-Appliance

Active Directory Integration Mac OS X. René Meusel Betriebssystemadministration

Active Directory. Agenda. Michael Flachsel. TU-Windows Konzept Vorhandene Umgebung. Allgemeiner Aufbau & Struktur an der TUB

Installation des edu- sharing Plug- Ins für Moodle

Clientkonfiguration für Hosted Exchange 2010

Sysadmin Day Windows & Linux. Ralf Wigand. MVP Directory Services KIT (Universität Karlsruhe)

0. Inhaltsverzeichnis

Authentication Policy. Konfigurationsbeispiel ZyXEL ZyWALL USG-Serie. Juni 2010 / HAL

Grundlagen. AAI, Web-SSO, Metadaten und Föderationen. Wolfgang Pempe, DFN-Verein

Zugang zu Föderationen aus Speicher-Clouds mit Hilfe von Shibboleth und WebDAV

SWITCHaai Die Authentifizierungs- und Autorisierungs- Infrastruktur der Schweizer Hochschulen

Cloud Control, Single Sign On in Active Directory Umfeld

NetVoip Installationsanleitung für D-Planet VIP 156

mylogin: Single Sign-On an der Universität Freiburg 5. Shibboleth-Workshop der AAR in Kooperation mit der DFN-AAI

ClickProfile Mobile. Leitfaden Client. Ihre Vision ist unsere Aufgabe

HowTo: Einrichtung des Captive Portal am DWC-1000

LDAP Integration. Menüpunkt: System > Time To Do: Die Uhzeit/Zeitzone der SonicWALL mit dem AD-Server abgleichen

Sebastian Rieger

B E N U T Z E R D O K U M E N TA T I O N ( A L E P H I N O

Windows Client einrichten im AD

Single-Sign-On mit Java und Kerberos. Michael Wiesner, SOFTCON IT-Service GmbH

Ziel: Problemdefinition: Der vorhandene LDAP Dienst kann mit der Verwendung von MSCHAP nicht für die Authentifizierung verwendet werden.

AJAX DRUPAL 7 AJAX FRAMEWORK. Was ist das Ajax Framework? Ein typischer Ablauf eines Ajax Requests Die Bestandteile des Ajax Frameworks.

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein:

Installation SQL- Server 2012 Single Node

Einrichten von VoIP Clients für SIP-Accounts

Single Sign-On für SaaS-Dienste auf Basis von Open Source Software. Prof. Dr. René Peinl

Shibboleth IdP-Erweiterungen an der Freien Universität Berlin

APEX und Phonegap? Das kann APEX doch mit HTML5! APEX connect Düsseldorf, 10. Juni 2015 Daniel Horwedel. APEX und Phonegap?

Kurzanleitung der IP Kamera

Roadtrip Plugin. Dokumentation

Directory Services für heterogene IT Landschaften. Basierend auf LDAP und OSS

SharePoint Security Einführung in das SharePoint Sicherheitssystem. Fabian Moritz MVP Office SharePoint Server

Installationsanleitung des VPN-Clients

How-to: HTTP Proxy mit Radius Authentifizierung an einem Windows 2003 Server. Securepoint Security System Version 2007nx

Linux Client im Windows AD

Referenz der relevanten Systemparameter für das PO-Modul

Einführung in Web-Security

Einrichtung von radsecproxy. Dipl.-Math. Christian Strauf Rechenzentrum TU Clausthal

Installationsanleitung des VPN-Clients

B E N U T Z E R D O K U M E N TA T I O N ( A L E P H I N O

Veröffentlichung und Absicherung von SharePoint Extranets

Anleitung für Webcasts

Single Sign-On an der Universität Freiburg Das Projekt mylogin

Internet Information Services v6.0

Linux in NWZnet II ZIV Unix-Integration mit DCE/DFS

Handbuch. Smart Card Login (SuisseID) Version Juni QuoVadis Trustlink Schweiz AG Seite [0]

Office Authentisierung in der Cloud

Neues aus der AAI: SLO und Verlässlichkeitsklassen Single-Log-Out Zwischenbericht 09/2014

Installation der VPN-Clientsoftware

Enterprise User Security mit Active Directory

Intelligent Application Gateway 2007 Abgrenzung und Mehrwert zum Internet Security Acceleration Server 2006

Einstiegsdokument Kursleiter

Erste Schritte Server und automatische Clientinstallation. Auto Shutdown Manager Version 5

When your browser turns against you Stealing local files

Inhaltsverzeichnis. Open-Xchange Authentication & Sessionhandling

User Forum FAMOS 4.1 FAMOS Web Portal. 13. FAMOS User Treffen Nino Turianskyj

Security + Firewall. 4.0 PPTP Client Einwahl. 4.1 Szenario

tubcloud und DFN-Cloud der TU Berlin Thomas Hildmann tubit IT Dienstleistungszentrum ZKI AKe Web & CM 03/2015

Stubbe-CS. Kurssystem. Günter Stubbe. Datum: 19. August 2013

IT-SERVICEZENTRUM. Jour Fix für IT-Verantwortliche. Netzzugang. Dr. Ulrich Trapper

Weitere Infos findet man auch in einem Artikel von Frank Geisler und mir im Sharepoint Magazin (Ausgabe Januar 2011)

Installationshandbuch

Technical Note 0606 ewon

Kobil Roundtable Identity Federation. Konzepte und Einsatz

Kurzanweisung der Jovision IP Kamera

Facebook I-Frame Tabs mit Papoo Plugin erstellen und verwalten

eduroam - Weltweit ins Netz und doch sicher Steffen Klemer Gesellschaft für Wissenschaftliche Datenverarbeitung Göttingen

Daten in der Cloud mit Access, Office 365 und Apps foroffice Dirk Eberhardt

Bedienungsanleitung V2.5. Secyourit GmbH, Rupert-Mayer-Str. 44, München, Deutschland Tel Fax

Das Archivierungssystem - Dokumentation für Anwender und Administratoren


1. SaxIS-Shibboleth. Shibboleth-Workshop. Chemnitz, 15. Dezember Dipl. Wirt.-Inf. Lars Eberle, Projekt SaxIS und BPS GmbH

BS-Anzeigen 3. Handbuch für das Zusatzmodul modazs Import von Anzeigen aus der Anzeigenschleuder

Horstbox Professional (DVA-G3342SB)

DocuWare unter Windows 7

Kerberos. Markus Schade

Wir empfehlen für die Installation des VPN-Clients den Internet Explorer.

FirstWare FreeEdition Quick Start Guide. Version 2.1

MEHR FUNKTIONEN, MEHR E-COMMERCE:

Externe Authentifizierung. Externe Authentifizierung IACBOX.COM. Version Deutsch

IT-Symposium. 2E04 Synchronisation Active Directory und AD/AM. Heino Ruddat

Identity Management mit OpenID

Zugang zum Wireless-LAN der Fachhochschule Schweinfurt

TimeMachine. Installation und Konfiguration. Version 1.4. Stand Dokument: install.odt. Berger EDV Service Tulbeckstr.

Erste Schritte nach der Installation

Handbuch zum besseren Verständnis des Webalizers Kurzanleitung

Allgemein. Einrichtung. PHOENIX Tool WinUser2PHOENIXUser. Version: Stand:

- Identity Management -

VPN zum Miniserver mit Openvpn auf iphone/ipad und Synology NAS

Für die Verwendung des Terminal-Gateway-Service gelten folgende Mindestsystemvoraussetzungen:

Transkript:

Shibboleth und Kerberos in gemischten Umgebungen Erfahrungen und Grenzen 66. DFN-Betriebstagung, AAI-Forum, 21.03.2017 Frank Schreiterer Universität Bamberg S. 1

Agenda 1. Ausgangssituation 2. Anpassungen 3. Implementierung S. 2

1. Ausgangssituation 2 getrennte Active Directories (RZ und ZUV) Clients ZUV domain-integriert Pools und VDI der UB bereits domain-integriert (RZ) Umstellung übriger Clients (= PCs der Lehrstühle und Zentren) auf Windows 10 domain-integriert (RZ) UB möchte von der IP-basierten Authentifizierung bei Verlagen, auch in der UB für Stadtnutzer, abschalten Was bietet das Shibboleth-Standart-Paket? Kerberos-Plugin (SPNEGO) https://wiki.shibboleth.net/confluence/display/idp30/spnego AuthnConfiguration mit ggf. automatischer Anmeldung S. 3

1. Ausgangssituation Probleme: automatische Anmeldung per Cookie, was aber manuell in der Anmeldemaske aktiviert werden muss Wie erklärt man nicht technisch versierten Nutzern, dass der Button Windows-Anmeldung verwenden geklickt werden soll, statt nochmals Nutzername + Passwort einzugeben? Kerberos und keine Vertrauensstellung im IE führt zu 401- Request (Nutzername + Passwort) und / oder Fehlermeldung durch ntlm-fallback 2 getrennte ADs Ziel: transparente Nutzung, d.h. Anmeldung ohne Login- Masken und Mausklicks S. 4

2. Anpassungen Windows: Hinzufügen der Vertrauensstellung nicht-domain-integrierte Clients: mittels Patch per WSUS verteilt Domain-integrierte Clients: über Gruppenrichtlinie Clients, die nicht im Einflussbereich des RZ liegen: Ausschluss erforderlich Shibboleth-Standart-Paket: ActivationCondition für IP-Range und Ausschluss der IPs WLAN (Fremdclients) in conf/authn/general-authn.xml entfernen der Realms in conf/c14n/simple-subject-c14nconfig.xml (ggf. auch Konfiguration in der attributeresolver.xml notwendig) S. 5

2. Anpassungen - Realms Kerberos-Ticket Request Attributes uid LDAP SSO AD ZUV Ticket-Validation uid@zuv.uni-bamberg.de = uid@uni-bamberg.de Realm: zuv.uni-bamberg.de Service-Account: http://idp.rz.uni-bamberg.de Ticket-Validation AD RZ Realm: uni-bamberg.de Service-Account: http://idp.rz.uni-bamberg.de <bean parent="shibboleth.pair" p:first="^(.+)@uni-bamberg\.de$" p:second="$1"/> <bean parent="shibboleth.pair" p:first="^(.+)@zuv.uni-bamberg\.de$" p:second="$1"/> S. 6

3. Implementierung Versuch: Kann das Anmeldecookie im Login-Vorgang erzeugt werden? keine Möglichkeit gefunden; aber: Es gibt JavaScript. Idee: Automatisches submit des SPNEGO-Buttons per JS und fallback LDAP, falls Kerberos nicht zur Verfügung steht oder fehl schlägt. S. 7

3. Implementierung login.vm Login-Buttons bekommen eindeutige id Login-Button SPNEGO per CSS nicht angezeigt mit und ohne JS nicht direkt verfügbar Einbindung der erforderlichen JavaScripts Funktionsweise Auto-Login 1. gesamtes html wird per JS nicht angezeigt <div id="nodisplay"> var div = document.getelementbyid("nodisplay"); div.style.display = "none"; 2. Beim laden wird per JS das SPNEGO-Login ausgelöst var e = document.getelementbyid("authn/spnego"); e.click; S. 8

3. Implementierung login.vm SPNEGO nicht erfolgreich fallback zum Standard-Login 1. Fehlermeldungen von SPNEGO und ntlm unterdrücken auth-messages.properties: spnego-unavailable.message= ntlm.message= 2. gesamtes html wird per JS angezeigt <div id="nodisplay"> var div = document.getelementbyid("nodisplay"); div.style.csstext = null; S. 9

3. Implementierung login.vm Erweiterungen: 1. Kein SPNEGO-Login für mobile Browser und nicht- Windows-Clients per JS 2. Unterdrückung Auto-Login per Cookie mit JS gesetzt über separate URL 3. Erzwungenes Auto-Login ebenfalls per Cookie mit JS gesetzt über separate URL (z.b. Laptop domainintegriert im WLAN) S. 10

3. Implementierung Login Stadtnutzer UB per LDAP durch Filter verhindert nur per SPNEGO für Stadtnutzer aus dem IP-Bereich der UB gewünscht kein Shibboleth-Login für andere Dienste der DFN-AAI und edugain Post-authentication-Interceptor-Flow https://wiki.shibboleth.net/confluence/display/idp30/conte xtcheckinterceptconfiguration check-beans.xml: <bean id="contextcheckpredicate" parent="shibboleth.conditions.or"> <constructor-arg> <list> <!-- Damit Stadtnutzer aus dem Subnetz der UB trotzdem die Dienste nutzen können muss der Zugriff gewährt werden --> S. 11

3. Implementierung Login Stadtnutzer UB <bean parent="shibboleth.conditions.and"> <constructor-arg> <list> <!-- Liste der zugelassenen SPs, in centralconditions.xml def.--> <ref bean="isubsp" /> <!-- Das Format der uid prüfen --> <bean class="net.shibboleth.idp.profile.logic. RegexAttributePredicate" p:useunfilteredattributes="true"> <property name="attributeid"> <value>uid</value> </property> <property name="pattern"> <value>^ub-user-pattern$</value> </property> </bean> <!-- Den IP-Bereich einschränken --> <bean class="org.opensaml.profile.logic.iprangepredicate" p:httpservletrequest-ref="shibboleth.httpservletrequest" p:ranges="#{{ '192.168.1.0/24','10.0.0.1/24' }}" /> </list> </constructor-arg> </bean> S. 12

3. Implementierung Login Stadtnutzer UB <!-- jeder, der in der Gruppe usesso ist und die uid mit ba beginnt--> <bean parent="shibboleth.conditions.and"> <constructor-arg> <list> <bean class="net.shibboleth.idp.profile.logic. SimpleAttributePredicate" p:useunfilteredattributes="true"> <property name="attributevaluemap"> <map> <entry key="ismemberof"> <list> <value>usesso</value> </list> </entry> </map> </property> </bean> S. 13

3. Implementierung Login Stadtnutzer UB <bean class="net.shibboleth.idp.profile.logic. RegexAttributePredicate" p:useunfilteredattributes="true"> <property name="attributeid"> <value>uid</value> </property> <property name="pattern"> <value>^ba.*$</value> </property> </bean> </list> </constructor-arg> </bean> </list> </constructor-arg> </bean> Zentrale Bedingungen einbinden in check-flow.xml <bean-import resource="../../../conf/centralconditions.xml" /> S. 14

3. Implementierung Demo S. 15

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback