Suche
Teilen
startseite » forum

Ldap und SSO

  • 0 x
    16 Beiträge
    0 Hilfreiche Beiträge
    06. 09. 2004, 10:30

    Hallo zusammen,

    habe folgendes Problem, vielleicht kennt ihr eine Lösung.

    Wir haben hier ein Intranet auf Basis Typo3 3.6.2 mit einer Wamp Installation auf einem 2000 Server.

    Wir haben ein 2003 Active Directory.

    Nun wollen wir via LDAP die User für unser Intranet verifizieren, was auch kein großes Problem ist. Zusätzlich soll aber auch ein SSO (Single Sign On) durchgeführt werden.

    Wir verwenden die Extensions eu_ldap 2.3.1 und die new Login Box 2.0.3

    Da beginnt aber leider das Problem, denn um den angemeldeteten User herauszufinden benutzt das Script den Nachrichtendienst um den User an den Client zurückzugeben. Der Nachrichtendienst ist aber bei allen Clients gesperrt da keine NAchrichten hinundher geschickt werden sollen.

    Meine Frage ist jetzt nun, ob es möglich ist den Nachrichtendienst so einzuschränken, das alles bis auf senden von Nachrichten im Netz erlaubt ist?

    Weiß jemand vielleicht eine Lösung? Oder gibt es eine andere Möglichkeit?

    Danke und Gruß

    obiwan99

  • 1
  • dropnose dropnose
    TYPO3-Anwärter
    0 x
    6 Beiträge
    0 Hilfreiche Beiträge
    25. 02. 2005, 13:31

    Hi,

    Du hast nicht zufällig eine Lösung für das Problem gefunden ??
    ich hänge nämlich hier an ziemlich gleicher stelle...
    abgleichen über ldap funzt, aber wie kann ich den login automatisieren (und dafür die win-logon-daten nutzen) ?

  • lefreak lefreak
    Padawan
    0 x
    54 Beiträge
    0 Hilfreiche Beiträge
    02. 03. 2005, 14:57

    http://www.typo3.net/viewtopic.php?t=21602

  • indalo indalo
    Padawan
    0 x
    51 Beiträge
    0 Hilfreiche Beiträge
    03. 03. 2005, 09:10

    Hallo,

    kurze Frage:
    Wie funktioniert das ganze denn mit dem Nachrichtendienst?

    Der ist hier nämlich nicht deaktiviert. Ich habe eu_ldap auf Typo 3.7 laufen. Newloginbox ist ebenfalls installiert.

    Was braucht es noch, damit die User sich ins Intranet nicht mehr extra einloggen müssen?

    Danke,
    Indalo

  • lefreak lefreak
    Padawan
    0 x
    54 Beiträge
    0 Hilfreiche Beiträge
    03. 03. 2005, 09:19

    Was meinst du mit Nachrichtendienst?

  • indalo indalo
    Padawan
    0 x
    51 Beiträge
    0 Hilfreiche Beiträge
    03. 03. 2005, 09:41

    [quote:8da6412aa2="lefreak"]Was meinst du mit Nachrichtendienst?[/quote:8da6412aa2]

    obiwan sprach im ersten Posting vom Nachrichtendienst.
    Gemeint war damit der gleichnamige Windows-Dienst.

    Wäre interessant, wie ich darüber einen automatischen Login und LDAP-Auth. bewerkstelligen kann.

  • lefreak lefreak
    Padawan
    0 x
    54 Beiträge
    0 Hilfreiche Beiträge
    03. 03. 2005, 10:47

    Ist nicht praktikabel. Bin mir nicht sicher obs überhaupt funktioniert.
    Die Übermittlung der Userid geht viel einfacher über die Option integrierte Windowsauthentifizierung (kann man in der Systemsteuerung unter InternetoptionenErweitert einschalten).

    Haben wir dann einen IIS eingesetzt das übermittelte Logoncredential des Windowsrechners verifiziert und die UserID in der Variable $_SERVER['AUTH_USER'] ausgiebt.

    DIese lässt sich dann leicht über ne Extension auslesen

  • indalo indalo
    Padawan
    0 x
    51 Beiträge
    0 Hilfreiche Beiträge
    03. 03. 2005, 11:40

    Das ganze läuft auf einem Apache.

    Bin weiterhin am rätseln, wie ich das am besten umsetze.

  • lefreak lefreak
    Padawan
    0 x
    54 Beiträge
    0 Hilfreiche Beiträge
    03. 03. 2005, 13:09

    Ist nicht ganz so einfach wenn du einen Apache verwendest.
    Die Authentifizierung am Active Directory ist kein Problem das bekommst du mit dem Kerberosmodul für den Apache (modauthkerb) hin.

    Das Problem ist jedoch das du dann immer noch eine Loginbox benötigst. Hab hier leider noch keine Lösung gefunden.
    Ich hatte bei unserem Intranetprojekt das gleiche Problem und mußte dann gezwungenermaßen auf den IIS zurückgreifen.

    Eine Übermittlung der Userid über den Nachrichtendienst wäre rein theoretisch vielleicht möglich ist jedoch in der Praxis nur schwer zu realisieren und bietet überhaupt keine Sicherheit, da du nicht kontrollieren kannst ob derjenige der dir seine Userid schickt auch wirklich der ist für den er sich ausgiebt.

  • 1
Präsentiert von