„WebmailShibboleth” változatai közötti eltérés

Innen: KIFÜ Wiki
(Új oldal, tartalma: „= Webmail szoftverek illesztése Shibboleth-hez = == Koncepció == == Adatbázis struktúra == == IdP plugin == == IMAP konfiguráció (Cyrus imapd) == == SP konfiguráci...”)
 
(Koncepció)
1. sor: 1. sor:
 
= Webmail szoftverek illesztése Shibboleth-hez =
 
= Webmail szoftverek illesztése Shibboleth-hez =
 
== Koncepció ==
 
== Koncepció ==
 +
A webmail és a levelezőszerver (IMAP/POP3) együttes működését szeretnénk Shibbolizálni. A fő probléma abból áll, hogy a webmail az IMAP szerver felé felhasználónévvel és jelszóval autentikál. Az címtárban tárolt jelszót azonban nem adhatjuk ki az alkalmazásoknak, ráadásul legtöbb esetben ez egy hashelt jelszó.
 +
 +
A következő kritériumoknak kell teljesülniük:
 +
* a webmail nem fér hozzá a felhasználó SSO jelszavához (még hashelt formátumban sem)
 +
* az IMAP szerver jelszavas autentikációt használ, minden felhasználónak egyedi jelszava van
 +
* a webmail feltörése esetén nem férhetnek hozzá az összes felhasználó levelezéséhez
 +
 +
A fenti kritériumokat az 'egyszer használatos', rövid lejárató jelszó használata kielégíti. Ebben az esetben az IdP minden egyes webmail bejelentkezéshez generál egy véletlen jelszót, és ezt elmenti egy adatbázisban, (beállítva a jelszóhoz egy rövid lejárati időt) valamint elküldi a webmail SP-nek. A webmail ezen rövid lejáratú jelszó használatával autentikál az IMAP szerver felé.
 +
 +
A leírt gondolatmenet megvalósításához három komponens együttműködése szükséges:
 +
* az IdP jelszót kell generáljon egy adatbázisba
 +
* a webmailnek el kell érnie ezt a jelszót
 +
* az IMAP szervernek a jelszóadatbázist kell használnia az autentikációra
 +
 
== Adatbázis struktúra ==
 
== Adatbázis struktúra ==
 
== IdP plugin ==
 
== IdP plugin ==

A lap 2009. április 2., 14:07-kori változata

Webmail szoftverek illesztése Shibboleth-hez

Koncepció

A webmail és a levelezőszerver (IMAP/POP3) együttes működését szeretnénk Shibbolizálni. A fő probléma abból áll, hogy a webmail az IMAP szerver felé felhasználónévvel és jelszóval autentikál. Az címtárban tárolt jelszót azonban nem adhatjuk ki az alkalmazásoknak, ráadásul legtöbb esetben ez egy hashelt jelszó.

A következő kritériumoknak kell teljesülniük:

  • a webmail nem fér hozzá a felhasználó SSO jelszavához (még hashelt formátumban sem)
  • az IMAP szerver jelszavas autentikációt használ, minden felhasználónak egyedi jelszava van
  • a webmail feltörése esetén nem férhetnek hozzá az összes felhasználó levelezéséhez

A fenti kritériumokat az 'egyszer használatos', rövid lejárató jelszó használata kielégíti. Ebben az esetben az IdP minden egyes webmail bejelentkezéshez generál egy véletlen jelszót, és ezt elmenti egy adatbázisban, (beállítva a jelszóhoz egy rövid lejárati időt) valamint elküldi a webmail SP-nek. A webmail ezen rövid lejáratú jelszó használatával autentikál az IMAP szerver felé.

A leírt gondolatmenet megvalósításához három komponens együttműködése szükséges:

  • az IdP jelszót kell generáljon egy adatbázisba
  • a webmailnek el kell érnie ezt a jelszót
  • az IMAP szervernek a jelszóadatbázist kell használnia az autentikációra

Adatbázis struktúra

IdP plugin

IMAP konfiguráció (Cyrus imapd)

SP konfiguráció

Webmail szoftverek konfigurációja

Squirrelmail