Re: [Python-de] Python Webanwendung an Active Directory anbinden
Michael Ziegler wrote:
Hallo,
Am 2014-09-23 08:06, schrieb Thomas Güttler:
wir haben den vagen Wunsch eines Kunden eine Intranetanwendung von uns ans Active Directory anzubinden.
Das hab ich mit openATTIC durch. Die große Schwierigkeit daran ist, zu verstehen was man eigentlich vorhat.
Wunsch: Gemeinsame Passwörter für Windows und die Intranetanwendung.
Das hab ich gemacht, indem ich Django beigebracht habe, gegen PAM zu authentifizieren[0]. PAM macht dann die Drecksarbeit mit Auth gegen LDAP, hauptsächlich weil ich mich so garnicht wie möglich mit Auth gegen LDAP befassen wollte. ;)
PAM ist IMHO um Einiges komplexer als die LDAP-Anbindung selbst zu machen, insbesondere da sich die systemspezifischen Bedingungen bei jedem OS stark verändern/unterscheiden können.
Optional: Single-Sign-On.
Dann wirds tricky.
Dazu brauchst du zunächst Samba + Winbind, die du in die Domäne joinst (net ads join)
Autsch! Ich würde dringend davon abraten, eine Web-Anwendung dermaßen eng mit Diensten zu verdrahten, die so eng mit dem OS verbunden sind. Ciao, Michael.
Hi,
On Sat, 27 Sep 2014 11:03:53 +0200 Michael Ströder
Michael Ziegler wrote:
Das hab ich gemacht, indem ich Django beigebracht habe, gegen PAM zu authentifizieren[0]. PAM macht dann die Drecksarbeit mit Auth gegen LDAP, hauptsächlich weil ich mich so garnicht wie möglich mit Auth gegen LDAP befassen wollte. ;)
PAM ist IMHO um Einiges komplexer als die LDAP-Anbindung selbst zu machen, insbesondere da sich die systemspezifischen Bedingungen bei jedem OS stark verändern/unterscheiden können.
Optional: Single-Sign-On. Dann wirds tricky. Dazu brauchst du zunächst Samba + Winbind, die du in die Domäne joinst (net ads join) Autsch! Ich würde dringend davon abraten, eine Web-Anwendung dermaßen eng mit Diensten zu verdrahten, die so eng mit dem OS verbunden sind.
Naja, die Kombination von samba/winbind als auth für die Webanwendung, aber nicht fürs System, fände ich wesentlich sicherer als wenn die Webanwendung per PAM die Systemauthentifizierung nutzt, bloss weil es da mehr Anleitungen für die Anbindung ans LDAP/AD gibt... Schönes Wochenende, Arnold
Hallo, On 27.09.2014 15:52, Arnold Krille wrote:
Optional: Single-Sign-On. Dann wirds tricky. Dazu brauchst du zunächst Samba + Winbind, die du in die Domäne joinst (net ads join) Autsch! Ich würde dringend davon abraten, eine Web-Anwendung dermaßen eng mit Diensten zu verdrahten, die so eng mit dem OS verbunden sind.
geht aber nicht anders, ohne Domänen-Accounts gibts keine Kerberos-Tickets. Die Authentifizierung ist dann wieder unabhängig von Samba, das macht Apache (mod-auth-kerb) allein.
Naja, die Kombination von samba/winbind als auth für die Webanwendung, aber nicht fürs System, fände ich wesentlich sicherer als wenn die Webanwendung per PAM die Systemauthentifizierung nutzt, bloss weil es da mehr Anleitungen für die Anbindung ans LDAP/AD gibt...
Tut sie nicht. Man kann für PAM einzelne Services konfigurieren, der System-Login ist nur einer davon. Die Authentifizierung für die Webanwendung *kann* auf die gleiche Art erfolgen wie fürs restliche System, *muss* aber nicht. Michael
participants (3)
-
Arnold Krille -
Michael Ströder -
Michael Ziegler