Kerberos Ticket statt Name/Passwort-Speicherung

[DerThomas 10]

Hallo!

 

Ich erstelle eine Applikation auf Basis von PHP/Apache auf einem Windows 2008-Server. Mit Hilfe dieser kann der Benutzer über eine Weboberfläche kleine Änderungen am Active Directory per LDAP vornehmen.

 

Im Moment funktioniert dies folgendermaßen:

Der Benutzer loggt sich ein, der Server speichert Namen und Passwort und bei einer Änderung loggt sich der Server dann mit Name/Passwort vom Benutzer ein.

 

Ich würde das gleiche nun gerne ohne die Speicherung von Name/Passwort des Users verwirklichen. Ich habe mich auch schon informiert, das dies mit Kerberos-Tickets zu lösen ist.

 

Allerdings habe ich bisher keine Ahnung davon.

Was ich also gerne machen würde: Der Benutzer gibt Namen/Passwort ein und Apache generiert daraufhin ein Ticket, dass er abspeichert und bei Verbindungen sendet.

Ich habe das Modul Mod_auth_kerb gefunden.

Allerdings übergebe ich ja eigentlich in PHP mittels ldap_bind den Usernamen/Passwort.

 

Hat jemand eine Idee wie ich es also hinkriege, dass statt Name/Passwort ein Ticket benutzt wird?

 

Danke für Tipps und Ideen!

[phoenixcp 10]

Hallo Thomas

 

So wird das nichts werden. Nur aufgrund von einer Benutzereingabe lässt sich kein Kerberos-Ticket erstellen.

 

Wenn überhaupt müsste deine Applikation es zulassen, das der User sich nicht anmeldet, sondern dessen bestehende Anmeldung (den er ist ja über seinen Login an seiner Workstation schon gegenüber dem AD authentifiziert) weiterverwendet wird. Stichwort hier: Pass-Through Authentication.

 

Nicht sicher ob das mit Apache / PHP geht, aber das wäre der grundlegende Weg.

 

BTW: Wofür soll das ganze denn gut sein? AD Tools gibts nun schon wie Sand am Meer.