Hallo!
Ich hätte eine client/server authentifizierungsfrage!
und zwar bin ich zur Zeit dabei ein standartisiertes login zu schreiben dass in vielen zukünftigen anwendungen in einsatz kommen soll.
es verwendet kerberos, clientseitig wird also ein service-ticket vom kerberos KDC beantragt und an den server-teil geschickt, dort wird es entschlüsselt, der username entnommen und für eine ldap abfrage benutzt (um festzustellen ob der user in einer bestimmten gruppe ist in der er sein muss um zugriff zu erhalten)
die idee dieses server packages ist im prinzip dass die eigentlichen server in zukunft dieses "authenticationServer-package" in einem seperaten thread starten und alle authentifizierungen darüber abhandeln lassen
ich schicke zur zeit dem client dann die entsprechende antwort zurück... aber jetzt denk ich nochmal ein bißchen über security nach, das alleine würde ja nicht reichen, ein nachgebauter client könnte das ja einfach ignorieren und sich trotzdem zum eigentlichen server verbinden!
irgendwie muss ich diese information (wer korrekt authentifiziert wurde) also serverseitig "mitschleifen", d.h. wenn der user jetzt den eigentlichen server kontaktiert muss ich diese information irgendwie verwenden um zu verhindern dass ein gefälschter client zugreifen kann ("dem client kann man nicht trauen")
hat da irgendjemand eine idee für mich? hab schon überlegt den socket einfach weiterzuleiten, aber das find ich vielleicht doch nicht sogut, die meisten anwendungen werden ja höchstwahrscheinlich auch rmi verwenden wollen und da hilft mir der bereits geöffnete socket wahrscheinlich nicht viel.
wie würdet ihr das lösen?
liebe grüße
Ich hätte eine client/server authentifizierungsfrage!
und zwar bin ich zur Zeit dabei ein standartisiertes login zu schreiben dass in vielen zukünftigen anwendungen in einsatz kommen soll.
es verwendet kerberos, clientseitig wird also ein service-ticket vom kerberos KDC beantragt und an den server-teil geschickt, dort wird es entschlüsselt, der username entnommen und für eine ldap abfrage benutzt (um festzustellen ob der user in einer bestimmten gruppe ist in der er sein muss um zugriff zu erhalten)
die idee dieses server packages ist im prinzip dass die eigentlichen server in zukunft dieses "authenticationServer-package" in einem seperaten thread starten und alle authentifizierungen darüber abhandeln lassen
ich schicke zur zeit dem client dann die entsprechende antwort zurück... aber jetzt denk ich nochmal ein bißchen über security nach, das alleine würde ja nicht reichen, ein nachgebauter client könnte das ja einfach ignorieren und sich trotzdem zum eigentlichen server verbinden!
irgendwie muss ich diese information (wer korrekt authentifiziert wurde) also serverseitig "mitschleifen", d.h. wenn der user jetzt den eigentlichen server kontaktiert muss ich diese information irgendwie verwenden um zu verhindern dass ein gefälschter client zugreifen kann ("dem client kann man nicht trauen")
hat da irgendjemand eine idee für mich? hab schon überlegt den socket einfach weiterzuleiten, aber das find ich vielleicht doch nicht sogut, die meisten anwendungen werden ja höchstwahrscheinlich auch rmi verwenden wollen und da hilft mir der bereits geöffnete socket wahrscheinlich nicht viel.
wie würdet ihr das lösen?
liebe grüße