Das war uns nicht genug!
Wegfall AFS-Gruppen
- vor Shibboleth: "require afsgroup xxxx"
- mit Shibboleth: kein "require afsgroup" mehr möglich
Bild1
Bild2
- nach Änderung: afsgroup als Shibboleth-Attribut
require afsgroup urz:mitarbeiter
require afsgroup ~ urz:.*
Kerberos ist doch schon ein SSO!
- mit Shibboleth: seperate Passworteingabe für Shibboleth
Bild1
Bild2
user_pref("network.negotiate-auth.delegation-uris", "wtc.tu-chemnitz.de");
user_pref("network.negotiate-auth.trusted-uris", "tu-chemnitz.de");
- nachher Änderung: Autorisierung durch KRB-TGT mit Negotiation-Auth
- Patch mod_auth_kerb: Apache-Option "KrbRequireCredential"
https://www-user.tu-chemnitz.de/~ronsc/misc/shib/
Webressourcen mit AFS-Zugriff oder Kerberos-Ticket
- IMP, WFM nicht in Shibboleth integrierbar
Bild1
Bild2
Bild3
Bild4
- nachher Änderung: Übertragung TGT an Aplikation, WFM funktioniert, IMP theoretisch
- Patch heimdal-kdc: Austellung TGT für mehrere Hosts
Zusammenfassung
| Single-Sign-On, Komfort |  |
| Sicherheit / Vertrauen | |
| Attributübermittlung | |
| differenzierte Autorisierung | |
| kein Auth-Header bei Applikation | |
| Roaming | |
| Integration aller Webservices |  |
| keine Umstellung für Autoren | |
| Kopplung KRB und Shibboleth | |
| Zugriff auf AFS | |
| globales Logout | (nächste Version) |
| wenige Voraussetzungen zur Benutzung | |
Inhalt