SSO mit Apache Reverse Proxy und Domino Server

[Hartie]

Hallo,

alle User sollen sich an einem Apache Reverse Proxy V. 2.2.9 vom Internet gegen das Active Directory authentifizieren. Die Authentifizeriung soll der Apache und nicht der Domino Server übernehmen, um z.B. eine Zwei-Faktor-Authentifizierung zu nutzen.

Wie ist es nun möglich, die Authentifizierung an Domino "weiterzureichen". Das dabei noch der AD-Benutzername auf den kanonischen Notes-Benutzernamen für die Authorisierung gemappt werden muss, versteht sich von selbst.

3 Möglichkeiten sind uns eingefallen, jedoch liegen keinerlei Implementierungserfahrungen vor.

1. Apache benutzt JASIG CAS. Leider gibt es keinen Domino-Client dafür. Hat das schon jemand individuell umgesetzt?
2. Apache übergibt das KERBEROS Ticket an den Domino-Server (SPNEGO). Geht das überhaupt mit dem Apache Reverse Proxy als "Client" statt einem Windowsbasierten Browser (IE, FF)?
3. Gibt es "Middleware"/Programmcode, der zwischen JASIG CAS und LTPA "vermittelt"?


Erschwerend ist noch hinzuzufügen, dass es sich bei den Clients um Browser auf mobilen Geräte (Android, iOS, Blackberrys) handelt.

[Hartie]

plong - nach oben schieb ;-)

[m3]

1) Halte dich mit den Bumps zurück

2) SPNEGO wird von Domino unterstützt.

Beginning with Lotus Domino 8.5.1, the Domino Web server can be configured to use Simple and Protected GSS-API Negotiation Mechanism (SPNEGO) and the underlying Kerberos network authentication security that is provided by Active Directory to negotiate authentication with a browser client. Also known as "Windows single sign-on for Web clients" or "Integrated Windows Authentication", this mechanism allows Web users who are actively logged on to the Active Directory domain to open applications on the Domino server from a browser, without being prompted for a password.

ABER:
Beachte die Voraussetzungen:

# Microsoft Windows Server Active Directory Domain Controller.
# The functional level of an Active Directory domain (or forest in the case of multiple domains) must be set to Windows Server 2003 or higher. Backwards compatible modes for Windows Server 2003 cannot be used. For example, you cannot set Windows Server 2003 to use Windows 2000 mixed mode. To check the domain and forest functional level, from the Active Directory Users and Computers snap-in utility, right-click the domain, click Properties, and look at the General tab.
# Domino server running on a Windows computer that is a member of an Active Directory domain.

Der Apache-Server wird nicht supported sein.

Und wenn Dir ganz fad ist, kannst Du einen DSAPI-Filter schreiben, der Dir dieses JSAIG/CAS unterstützt.

[Hartie]

Der Apache-Server wird nicht supported sein.

@m3:
Deine Rückmeldung bestätigt in etwa meine "Vorahnungen".

Hast Du für die zitierte Aussage noch eine Quelle oder basiert das auf Deinen Erfahrungen?

Gruß Hartie

[m3]

Nur eine Vermutung ....

Due to the nature of Kerberos authentication via the SPNEGO protocol in Domino, Windows single sign-on can be only be achieved when a user initially accesses a Domino 8.5.1 server running on a Windows platform that is part of the Active Directory domain. However, even though non-Windows servers cannot automatically authenticate users via SPENGO, they can participate in a Web SSO configuration that has been created for a Windows Domino server. In other words, if you create Web SSO configuration document and enable it for "Windows single sign-on integration", other non-Windows Domino servers can still use this same SSO configuration document and there will be no conflicts if the user needs to directly authenticate to a non-Windows Domino server via form-based login.
...
IMPORTANT NOTE: The above offering is supplied for illustrative purposes only. It is provided AS IS, without warranty of any kind, express or implied and Lotus Support cannot provide any assistance with customization or troubleshooting issues that may arise from its use.

http://www-10.lotus.com/ldd/dominowiki.nsf/dx/Deploying_SPNEGO#mixed_servers

[Hartie]

@m3:
Danke für die Klarstellung.

Dann werden wir mal in die Analyse-Phase einsteigen und schauen, was sich wie umsetzen lässt.

Gruß Hartie

[stoeps]

Tomcat könnte man LTPA fähig machen:
http://www.openntf.org/Projects/pmt.nsf/ProjectLookup/DominoTomcatSSO

mod_auth_tkt könnte noch was sein:
http://blog.steveseymour.com/steves/blogv2.nsf/dx/apache-single-sign-on-sso-with-cookies.htm

[Hartie]

@Christoph:

Wahrscheinlich werden wir in den Authentifizierungs-Workflow des CAS gegen das Active Directory nach dem Event "Authentifiziert" eine LTPA-Generierung einbauen. Da könnte das von Dir erwähnte OPENNTF-Projekt zumindest hilfreich sein.

Das Modul mod_auth_tkt scheint wohl nur für SSO innerhalb von Apache geeignet zu sein.

Gruß Hartie