www.SAMURAJ-cz.com 

20.06.2019 Květa Translate to English by Google     VÍTEJTE V MÉM SVĚTĚ

Série článků (seriály, skupiny)

Kerberos protokol se zaměřením na SSO v AD DS

Nový seriál, který se podrobně věnuje protokolu Kerberos V5, hlavně v prostředí Microsoft Active Directory. Popíšeme si i řadu souvisejících věcí, které jsou potřeba pro pochopení fungování Kerberos Single Sign-On (SSO).

Kerberos část 6 - Kerberos SSO mezi doménami

Dosud jsme se věnovali průběhu Kerberos autentizace (SSO) v rámci jedné domény (Realmu). Výhoda protokolu Kerberos je, že umí navazovat vztahy mezi Realmy a provádět autentizaci Cross-Realm. V případě Microsoft domén to znamená, že když máme navázaný vztah důvěry mezi nějakými doménami, tak nám automaticky funguje autentizace. Uživatelský účet se může nacházet v jedné doméně a server (služba) v jiné, uživatel se přesto přihlásí pomocí SSO.
27.06.2014 | 23.04.2014 | Samuraj - Petr Bouška | Microsoft admin | 7483x | Komentáře [1]

Kerberos část 7 - Troubleshooting Kerberos SSO

V článku se podíváme na nějaké možnosti hledání problémů, když nastavíme Single Sign-On (SSO) autentizaci pomocí protokolu Kerberos a automatické přihlášení přesto nefunguje. Jako autentizační server uvažujeme AD doménový řadič. Většina možností je obecná, ale v praktických příkladech budeme uvažovat situaci, kdy jde o autentizaci k webové aplikaci z prohlížeče.
29.06.2014 | 03.05.2014 | Samuraj - Petr Bouška | Microsoft admin | 10466x | Komentáře [1]

Kerberos část 1 - Active Directory komponenty

Vítejte u prvního dílu seriálu, který se věnuje protokolu Kerberos se zaměřením na Single Sign-On (SSO) v prostředí Microsoft Active Directory. Dnešní díl se přímo Kerberos protokolu nevěnuje, ale popíšeme si základní termíny Active Directory, které potřebujeme znát, a s kterými Kerberos autentizace souvisí (když ji používáme v doménovém prostředí). Stručně zmíníme AD komponenty, protože struktura souvisí s Kerberos Realm. Dále si popíšeme, jak klient hledá doménový řadič (což je zároveň Kerberos autentizační server).

Kerberos část 2 - AD uživatelské účty a Service Principal Name

Druhá část seriálu o protokolu Kerberos, se zaměřením na Single Sign-On (SSO) v prostředí Microsoft Active Directory, naváže na první díl a nebude se věnovat Kerberosu, ale věcem okolo Active Directory Domain Services. Docela podrobně se podíváme na přihlašovací jména uživatelských účtů, tedy User Principal Name (UPN) a sAMAccountName. V závěru ještě popíšeme jména instancí služeb (Service Principal Name).

Kerberos část 3 - Single Sign-On a protokol Kerberos

V minulých dílech jsme si popsali důležité termíny Active Directory Domain Services. Dnes se pokusíme popsat techniku Single Sign-On a začneme již úvodním popisem protokolu Kerberos a jeho vlastností.

Kerberos část 4 - hlavní termíny Kerberos protokolu

V tomto díle našeho seriálu budeme pokračovat v popisu protokolu Kerberos V5. Vysvětlíme si všechny důležité pojmy a používané principy, které hrají roli u Kerberos autentizace. V dalším díle využijeme znalost těchto termínů a popíšeme si princip ověřování při Kerberos SSO.

Kerberos část 5 - princip Kerberos autentizace

Po té, co jsme si vysvětlili potřebné základy a termíny patřící k Active Directory Domain Services, Single Sign-On a Kerberos protokolu, se dnes pustíme do hlavní části. Popis principu, jak funguje Kerberos autentizace, což zároveň znamená také Single Sign-On. Princip není úplně jednoduchý, používají se různé šifrovací klíče, časové známky, tikety, atd. Někomu stačí znát logický princip funkce a nepotřebuje vědět, jaké pakety se posílají a co obsahují. Proto je popis uveden třikrát, kdy každý jde více do hloubky.

Kerberos část 8 - SSO pro webovou aplikaci

V předchozích dílech jsme si popsali mnoho věcí o protokolu Kerberos a jak funguje pro SSO autentizaci. V dnešním, a několika následujících, se budeme věnovat trochu speciální situaci. Obecně půjde o poslední část autentizace, ověření u služby. Ale budeme popisovat speciální případ, kdy služba je webový server a přihlašujeme se pomocí SSO do webové aplikace. Popíšeme si, co je potřeba nastavit na webovém serveru, aby SSO fungovalo. A rozebereme fungování Kerberos nad HTTP (což samozřejmě zahrnuje i HTTPS).

Kerberos část 9 - Keytab (key table) soubor

V tomto díle navážeme na předchozí, kde jsme popisovali SSO pro webovou aplikaci. Protože uvažujeme jiné webové servery než Microsoft IIS, tak si detailně popíšeme vytváření keytab souboru, který se v tom případě využívá. Keytab soubor nám nahradí zařazení a komunikaci serveru s doménovým řadičem.

Kerberos část 10 - nastavení webových prohlížečů

V předchozích dílech jsme řešili využití Kerberos SSO vůči webové aplikaci hlavně ze strany serveru. V tomto díle se podíváme na to, co je potřeba nastavit u klienta na webovém prohlížeči, aby SSO fungovalo. Věnujeme se Internet Exploreru, Firefoxu a Chromu.

Kerberos část 11 - konfigurace Apache a využití v PHP

Už jsme si popsali Kerberos protokol a související komponenty Active Directory a řešili jsme fungování Kerberosu nad HTTP protokolem, takže bychom měli mít všechny znalosti pro nasazení libovolné aplikace, která podporuje Kerberos SSO vůči doméně. V dnešním posledním díle se stručně podíváme na konfiguraci aplikačního serveru a naznačíme si související implementaci SSO v jazyce PHP.