1 / 15

Prezentacja przykładowych rozwiązań realizujących autoryzację w serwisie WWW w oparciu o bazę LDAP

Prezentacja przykładowych rozwiązań realizujących autoryzację w serwisie WWW w oparciu o bazę LDAP. Jerzy Szymański. Autentykacja w serwisie WWW ( Apache – standardy). Basic authentication Digest authentication Moduły serwera. Basic authentication. Problemy

mason-valencia
Download Presentation

Prezentacja przykładowych rozwiązań realizujących autoryzację w serwisie WWW w oparciu o bazę LDAP

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Prezentacja przykładowych rozwiązań realizujących autoryzację w serwisie WWW w oparciu o bazę LDAP Jerzy Szymański

  2. Autentykacja w serwisie WWW (Apache – standardy) • Basic authentication • Digest authentication • Moduły serwera

  3. Basic authentication • Problemy • brak możliwości wylogowania się • niewygodne „cache-owanie” loginu i hasła • nieefektowne i różne, w zależności od przeglądarki, okna dialogowe służące do logowania się • przesyłanie loginów i haseł czystym tekstem • „zaszyfrowane” hasła umieszczone w pliku na dysku serwera

  4. Digest authentication • Problemy – jak w Basic authentication • Innowacja – login i hasło przesyłane jest w postaci zaszyfrowanej (MD5)

  5. Moduły serwera • Oparte na bazach danych (Berkeley DB, LDAP) • Główna zaleta – przechowywanie loginów i haseł w bazie, a więc poprawa szybkości autentykacji

  6. Rozwiązania problemu autentykacji/autoryzacji z użyciem LDAP • Moduły Apache korzystające z LDAP • Własne rozwiązania

  7. Moduły Apache • Możliwości • komunikacja z LDAP z użyciem SSL • możliwość kompilacji jako moduł statyczny i dynamiczny • autoryzacja poprzez dopasowania do filtru LDAP, przynależność do grupy, dowiązanie do LDAP • możliwość dowiązania do bazy LDAP jako dany DN

  8. Moduły Apache • Zalety • szybkość instalacji, szybka praca • Wady • dość sztywne założenia co do bazy danych użytkowników • umieszczenie dyrektyw dla modułu w httpd.conf wymusza restart serwera każdorazowo po zmianie konfiguracji, alternatywa – plik .htaccess

  9. Moduły Apache w sieci • http://nona.net/software/ldap/ • http://www.muquit.com/muquit/software/mod_auth_ldap/mod_auth_ldap.html • http://kie.berkeley.edu/people/jmorrow/mod_ldap • http://www.rudedog.org/auth_ldap/ • http://authzldap.othello.ch/

  10. Własne rozwiązania(UCI Web Services) • Koncepcja • użytkownicy + grupy • przynależność użytkownika do grup reprezentujących poszczególne serwisy WWW • przynależność ze względu na gid • grupa, której członkami są wszyscy użytkownicy (AllUsers)

  11. UCI Web Services • Schemat bazy LDAP (użytkownicy)

  12. UCI Web Services • Schemat bazy LDAP (grupy)

  13. UCI Web Services • Zalety • nieograniczona konfigurowalność • Wady • podatność na błędy programisty • wymagania (PHP, sesje PHP) • Koszty • rezerwacja zmiennej sesji dla każdego serwisu • rezerwacja zmiennych $username, $password

  14. UCI Web Services • Niebezpieczeństwa • przeładowanie zmiennej poprzez odwołania typu http://www.uni.torun.pl/secret.php?username=root • bezpieczeństwo plików sesji

  15. Prezentacja przykładowego rozwiązania Jerzy.Szymanski@uni.torun.pl UCI UMK

More Related