Negotiate SAPP-dagen 2011 Negotiate – hva er det? • • • • • En autentiseringsmodul i SimpleSamlPhp Kerberos over HTTP Metadata fra LDAP Autorisasjon LDAP Delegerer autentisering 6 November 2015 Negotiate, SAPP-dagen 2011

Download Report

Transcript Negotiate SAPP-dagen 2011 Negotiate – hva er det? • • • • • En autentiseringsmodul i SimpleSamlPhp Kerberos over HTTP Metadata fra LDAP Autorisasjon LDAP Delegerer autentisering 6 November 2015 Negotiate, SAPP-dagen 2011

Negotiate

SAPP-dagen 2011

Negotiate – hva er det?

• En autentiseringsmodul i SimpleSamlPhp • Kerberos over HTTP • Metadata fra LDAP • Autorisasjon LDAP • Delegerer autentisering 25 April 2020 Negotiate, SAPP-dagen 2011 3

Klassisk SAML

1.

2.

3.

4.

GET på beskyttet ressurs Redirect til weblogin, passorside u/p, Logg inn Redirect til beskyttet ressurs 25 April 2020 Negotiate, SAPP-dagen 2011 4

Negotiate

Negotiate, SAPP-dagen 2011 1. TGT fra KDC 2. GET på beskyttet ressurs 3. Redirect til weblogin 4. 401 Negotiate 5. TGS fra KDC 6. Svar på 401 7. Redirect til beskyttet ressurs 4.1. Deny, redirect vanlig innlogging 5.1. Redirect til beskyttet ressurs (*) Weblogin kommuniserer med KDC 5 25 April 2020

Hvorfor?

• Et ledd i IHR-arbeidet for å minske antall pålogginger i løpet av en dag.

• Alternativer ville endret på klienter eller introdusert proprietære løsninger før eller istedet for weblogin.

• Sikkerheten må ivaretas.

• Plattformuavhengig.

25 April 2020 Negotiate, SAPP-dagen 2011 6

Hvordan?

• Mange timer med leting og forsøk.

• Mange skjær i sjøen.

• Vanskelige nettlesere (IE) • Begrensninger i HTTP.

• Beta-støtte i PHP.

• Utenfor spesifikasjonen i SimpleSamlPhp • LDAP fortsatt authZ/mnetadata-backend.

25 April 2020 Negotiate, SAPP-dagen 2011 7

Fordeler

• “Power feature” • Mindre argumenter for rene Windows løsninger.

• Ekte reautentisering kontra lange sesjoner.

• “Fallback” gjør at ingenting tilsynelatende er endret.

• SP-er (klienter) forblir uendret.

25 April 2020 Negotiate, SAPP-dagen 2011 8

Ulemper

• Vanskelig å sende koden “upstream”.

• Kompleksitet.

• Avhengigheter.

• SimpleSamlPhp ikke spesielt fleksibelt.

• Er sikkerheten forringet?

25 April 2020 Negotiate, SAPP-dagen 2011 9

Ultrahemmelig USIT-ninjaskvadron

• Einar Jerseth, WI/SAS – Rosa belte i alt Windows og beryktet som “AD dödaren” • Frank Solem, GAP/SAPP – Vevmester. Drikker te.

• Mathias Meisfjordskar, GT/SAPP – Drunken Fist Kung Fu-mester. Dårlig i PHP.

• Andre: WEB, LIPK/SAS, Espen “Mr. Miyagi” Grøndahl 25 April 2020 Negotiate, SAPP-dagen 2011 10