Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Ogłoszenie
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
#1 2016-02-25 11:51:18
SamozwańczyKrólBasha - Lemur
- SamozwańczyKrólBasha
- Lemur
- Skąd: Wrocław
- Zarejestrowany: 2016-02-24
Kerberos SSO i logowanie z wielu domen
Cześć,
to mój pierwszy post tutaj, więc jeśli zrobię coś nie tak.. będę bił się w pierś :) Problem jaki chcę tu opisać będzie nieco złożony (dla mnie na pewno) i nie wiem czy dam radę udzielić wam dostatecznych informacji. A chodzi o właściwie o integrację usługi na na linuksowym serwerze a wintelowskim AD :) Dacie mi może jednak coś co mnie naprowadzi. Jestem już mocno zdesperowany i nawet nie wiem gdzie się zgłosić :)
Cel jaki mi przedstawiono, parafrazując, przedstawia się tak: Zrób tak by wszyscy użytkownicy będący w rożnych domenach w naszej organizacji (i w różnych krajach i różnych LDAP-ach) mogli być automatycznie logowani do naszej aplikacji oraz w razie awarii "autologowania" mogli logować się za pomocą domenowego loginu i hasła.
Opiszę ogólnikowo co zrobiłem a jeśli ktoś poczuję się zainteresowany tym umiarkowanie interesującym tematem, udzielę szczegółowych wyjaśnień. Swoje serwery (Debian 7) podpiąłem do jednej z domen (Win 2008R2). Na serwerach ustawiłem odpowiednio: krb5.conf ( MIT kerberos), sambę, nsswitch.conf, resolv.conf itd. Polecenia klist, net ads, wbinfo zwracają wartości zgodnie z oczekiwaniem.
Dla aplikacji z którą łączyć będą się użytkownicy wygenerowałem na kontrolerze domeny keytaby (umieściłem na moich serwerach debianowych) i ustawiłem spn-y. Miedzy wszystkimi domenami relacje zaufania w dwie strony.
Problem nr 1
W połowie przypadków efekt jest taki ,że faktycznie użytkownicy są autmatycznie logowani do aplikacji z każdej jednej domeny. Ticket kerberosa wydaje się przechodzi cała drogę od użytkownika poprzez kontroler do serwera aplikacji. W drugiej połowie domen natomiast po wpisaniu w przeglądarkę url-a przez użytkownika nic się nie dzieje. Ticket kerberosa nie jest odbierany przez serwer aplikacji. W logach niema nic. Nie jestem też w stanie stwierdzić różnic w konfiguracji pomiędzy kontrolerami na platformie windows natomiast na Linuxach wszystko wydaję się być ok.
Problem nr 2
W przypadku testowym kiedy SSO jest wyłączone i użytkownicy powinni logować się po LDAP-ie poprzez login i hasło, sytuacja przedstawia się tak: W domenie A (do której podpięty jest mój linuxowy serwer aplikacyjny) user loguję się normalnie. Czyli nazwausera hasło. W domenie B user nie może się zalogować tak jak w A. Musi do nazwy użytkownika dodać sufiks domeny czyli np:
nazwausera@domena.de. Co najciekawsze jak wejdę na kontroler odpowiadający np za domena.de i stworze tam usera w tym samym OU co wszyscy to ten użytkownik może logować się bez sufiksu. O.o
Jeśli się wygłupiłem lub problem okaże się banalny to przepraszam. Jestem wciąż początkującym adminem. Jeśli kogoś tu interesuję ten temat to chętnie udzielę bardziej szczegółowe info. Będę wdzięczny za wszelką pomoc
Ostatnio edytowany przez SamozwańczyKrólBasha (2016-02-25 11:54:05)
A teraz wzbudzę w was poczucie niższości. Zresztą uzasadnione :)
Offline