„WebmailShibboleth” változatai közötti eltérés
(Új oldal, tartalma: „= Webmail szoftverek illesztése Shibboleth-hez = == Koncepció == == Adatbázis struktúra == == IdP plugin == == IMAP konfiguráció (Cyrus imapd) == == SP konfiguráci...”) |
(→Koncepció) |
||
1. sor: | 1. sor: | ||
= Webmail szoftverek illesztése Shibboleth-hez = | = Webmail szoftverek illesztése Shibboleth-hez = | ||
== Koncepció == | == Koncepció == | ||
+ | A webmail és a levelezőszerver (IMAP/POP3) együttes működését szeretnénk Shibbolizálni. A fő probléma abból áll, hogy a webmail az IMAP szerver felé felhasználónévvel és jelszóval autentikál. Az címtárban tárolt jelszót azonban nem adhatjuk ki az alkalmazásoknak, ráadásul legtöbb esetben ez egy hashelt jelszó. | ||
+ | |||
+ | A következő kritériumoknak kell teljesülniük: | ||
+ | * a webmail nem fér hozzá a felhasználó SSO jelszavához (még hashelt formátumban sem) | ||
+ | * az IMAP szerver jelszavas autentikációt használ, minden felhasználónak egyedi jelszava van | ||
+ | * a webmail feltörése esetén nem férhetnek hozzá az összes felhasználó levelezéséhez | ||
+ | |||
+ | A fenti kritériumokat az 'egyszer használatos', rövid lejárató jelszó használata kielégíti. Ebben az esetben az IdP minden egyes webmail bejelentkezéshez generál egy véletlen jelszót, és ezt elmenti egy adatbázisban, (beállítva a jelszóhoz egy rövid lejárati időt) valamint elküldi a webmail SP-nek. A webmail ezen rövid lejáratú jelszó használatával autentikál az IMAP szerver felé. | ||
+ | |||
+ | A leírt gondolatmenet megvalósításához három komponens együttműködése szükséges: | ||
+ | * az IdP jelszót kell generáljon egy adatbázisba | ||
+ | * a webmailnek el kell érnie ezt a jelszót | ||
+ | * az IMAP szervernek a jelszóadatbázist kell használnia az autentikációra | ||
+ | |||
== Adatbázis struktúra == | == Adatbázis struktúra == | ||
== IdP plugin == | == IdP plugin == |
A lap 2009. április 2., 15:07-kori változata
Tartalomjegyzék
Webmail szoftverek illesztése Shibboleth-hez
Koncepció
A webmail és a levelezőszerver (IMAP/POP3) együttes működését szeretnénk Shibbolizálni. A fő probléma abból áll, hogy a webmail az IMAP szerver felé felhasználónévvel és jelszóval autentikál. Az címtárban tárolt jelszót azonban nem adhatjuk ki az alkalmazásoknak, ráadásul legtöbb esetben ez egy hashelt jelszó.
A következő kritériumoknak kell teljesülniük:
- a webmail nem fér hozzá a felhasználó SSO jelszavához (még hashelt formátumban sem)
- az IMAP szerver jelszavas autentikációt használ, minden felhasználónak egyedi jelszava van
- a webmail feltörése esetén nem férhetnek hozzá az összes felhasználó levelezéséhez
A fenti kritériumokat az 'egyszer használatos', rövid lejárató jelszó használata kielégíti. Ebben az esetben az IdP minden egyes webmail bejelentkezéshez generál egy véletlen jelszót, és ezt elmenti egy adatbázisban, (beállítva a jelszóhoz egy rövid lejárati időt) valamint elküldi a webmail SP-nek. A webmail ezen rövid lejáratú jelszó használatával autentikál az IMAP szerver felé.
A leírt gondolatmenet megvalósításához három komponens együttműködése szükséges:
- az IdP jelszót kell generáljon egy adatbázisba
- a webmailnek el kell érnie ezt a jelszót
- az IMAP szervernek a jelszóadatbázist kell használnia az autentikációra