prezentacja przykładowych rozwiązań realizujących autoryzację w serwisie www w oparciu o bazę...
DESCRIPTION
Prezentacja przykładowych rozwiązań realizujących autoryzację w serwisie WWW w oparciu o bazę LDAP. Jerzy Szymański. Autentykacja w serwisie WWW ( Apache – standardy). Basic authentication Digest authentication Moduły serwera. Basic authentication. Problemy - PowerPoint PPT PresentationTRANSCRIPT
Prezentacja przykładowych rozwiązań realizujących autoryzację w serwisie
WWW w oparciu o bazę LDAP
Jerzy Szymański
Autentykacja w serwisie WWW (Apache – standardy)
Basic authentication Digest authentication Moduły serwera
Basic authentication
Problemy• brak możliwości wylogowania się• niewygodne „cache-owanie” loginu i hasła• nieefektowne i różne, w zależności od
przeglądarki, okna dialogowe służące do logowania się
• przesyłanie loginów i haseł czystym tekstem• „zaszyfrowane” hasła umieszczone w pliku na
dysku serwera
Digest authentication
Problemy – jak w Basic authentication Innowacja – login i hasło przesyłane jest w
postaci zaszyfrowanej (MD5)
Moduły serwera
Oparte na bazach danych (Berkeley DB, LDAP)
Główna zaleta – przechowywanie loginów i haseł w bazie, a więc poprawa szybkości autentykacji
Rozwiązania problemu autentykacji/autoryzacji z użyciem LDAP
Moduły Apache korzystające z LDAP Własne rozwiązania
Moduły Apache
Możliwości• komunikacja z LDAP z użyciem SSL• możliwość kompilacji jako moduł statyczny i
dynamiczny• autoryzacja poprzez dopasowania do filtru LDAP,
przynależność do grupy, dowiązanie do LDAP• możliwość dowiązania do bazy LDAP jako dany
DN
Moduły Apache
Zalety• szybkość instalacji, szybka praca
Wady• dość sztywne założenia co do bazy danych
użytkowników• umieszczenie dyrektyw dla modułu w httpd.conf wymusza restart serwera każdorazowo po zmianie konfiguracji, alternatywa – plik .htaccess
Moduły Apache w sieci
1. http://nona.net/software/ldap/
2. http://www.muquit.com/muquit/software/mod_auth_ldap/mod_auth_ldap.html
3. http://kie.berkeley.edu/people/jmorrow/mod_ldap
4. http://www.rudedog.org/auth_ldap/
5. http://authzldap.othello.ch/
Własne rozwiązania (UCI Web Services)
Koncepcja• użytkownicy + grupy• przynależność użytkownika do grup
reprezentujących poszczególne serwisy WWW• przynależność ze względu na gid• grupa, której członkami są wszyscy użytkownicy
(AllUsers)
UCI Web Services
Schemat bazy LDAP (użytkownicy)
UCI Web Services
Schemat bazy LDAP (grupy)
UCI Web Services
• Zalety• nieograniczona konfigurowalność
• Wady• podatność na błędy programisty• wymagania (PHP, sesje PHP)
• Koszty• rezerwacja zmiennej sesji dla każdego serwisu• rezerwacja zmiennych $username, $password
UCI Web Services
Niebezpieczeństwa• przeładowanie zmiennej poprzez odwołania typu
http://www.uni.torun.pl/secret.php?username=root
• bezpieczeństwo plików sesji
Prezentacja przykładowego rozwiązania