Hallo,
ich möchte gerne in unserer Anwendung Single-Sign-On mit Kerberos integrieren und könnte dabei Unterstützung gebrauchen.
Unsere Software:
Wir stellen eine klassische Client-Server-Architektur zur Verüfung, bestehend aus einem Eclipse-RCP-Client, der mit einem Tomcat kommuniziert. Die Anmeldung läuft derzeit ganz klassisch vom Client aus am Tomcat mittels Benutzername und Passwort. Das alles läuft in einer stink normalen Windows-Welt mir Windows XP Workstations und Windows 2003/2008 als Domänencontroller.
Die Idee:
Single-Sign-On mit Kerberos statt klassischer Anmeldung mit Benuterzname und Passwort. D.h. der Domänencontroller fungiert als KDC (Key Distribution Center) und wahrscheinlich gleichzeitig als AS (Authorization Service).
1. Beim Anmelden an meiner Windows XP Workstation authentifiziert sich der Benutzer gegenüber dem KDC und bekommt das TGS (Ticket Granting Ticket).
2. Damit kann er dann beim AS den Zugriff auf einen Dienst (unser Tomcat-Server) verlangen und bekommt ein ST (Service Ticket).
3. Mit diesem ST muss man sich dann statt unsere Benutzername-Passwort-Anmeldung bei unserem Tomat-Server authentifizieren.
Das Problem:
2. und 3. sind mir nicht ganz klar. Der erste Schritt erledigt sich ja beim Anmelden an meiner Workstation. Mit Hilfe von JAAS bekommt man wohl Zugriff auf das TGT. Wie gehen dann aber Schritt 2 und 3.
2. Dafür muss doch bestimmt auf dem Windows Server irgendwas konfiguriert werden. Wer darf den Dienst benutzen. Und wie implementiere ich das in meinem Client?
3. Wie übertrage ich das ST von meinem Client an den Tomcat?
Kennt sich jemand mit dieser Thematik aus und hat vielleicht schon eine ähnliche Architektur zum Laufen gebracht?
ich möchte gerne in unserer Anwendung Single-Sign-On mit Kerberos integrieren und könnte dabei Unterstützung gebrauchen.
Unsere Software:
Wir stellen eine klassische Client-Server-Architektur zur Verüfung, bestehend aus einem Eclipse-RCP-Client, der mit einem Tomcat kommuniziert. Die Anmeldung läuft derzeit ganz klassisch vom Client aus am Tomcat mittels Benutzername und Passwort. Das alles läuft in einer stink normalen Windows-Welt mir Windows XP Workstations und Windows 2003/2008 als Domänencontroller.
Die Idee:
Single-Sign-On mit Kerberos statt klassischer Anmeldung mit Benuterzname und Passwort. D.h. der Domänencontroller fungiert als KDC (Key Distribution Center) und wahrscheinlich gleichzeitig als AS (Authorization Service).
1. Beim Anmelden an meiner Windows XP Workstation authentifiziert sich der Benutzer gegenüber dem KDC und bekommt das TGS (Ticket Granting Ticket).
2. Damit kann er dann beim AS den Zugriff auf einen Dienst (unser Tomcat-Server) verlangen und bekommt ein ST (Service Ticket).
3. Mit diesem ST muss man sich dann statt unsere Benutzername-Passwort-Anmeldung bei unserem Tomat-Server authentifizieren.
Das Problem:
2. und 3. sind mir nicht ganz klar. Der erste Schritt erledigt sich ja beim Anmelden an meiner Workstation. Mit Hilfe von JAAS bekommt man wohl Zugriff auf das TGT. Wie gehen dann aber Schritt 2 und 3.
2. Dafür muss doch bestimmt auf dem Windows Server irgendwas konfiguriert werden. Wer darf den Dienst benutzen. Und wie implementiere ich das in meinem Client?
3. Wie übertrage ich das ST von meinem Client an den Tomcat?
Kennt sich jemand mit dieser Thematik aus und hat vielleicht schon eine ähnliche Architektur zum Laufen gebracht?
