Pro autentizaci přístupu na chráněné Web stránky je na FIT používána centrální autentizace přes Centrální autentizační server (CAS) FIT. Jako uživatelské jméno a heslo je použit FIT login a heslo do IS FIT (Unixu).

Přihlášení

Přístup na chráněné Web stránky je možný:

  • Přímo z vlastní Web stránky (např. z Web Emailu). Pokud není uživatel autentizován, je prohlížeč přesměrován na autentizační stránku CAS. Po úspěšném přihlášení je prohlížeč přesměrován zpět na cílovou chráněnou Web stránku.
  • Z autentizační Web stránky CAS. V tomto případě je po úspěšné autentizaci nabídnut seznam všech dostupných chráněných Webů a lze pokračovat na kterýkoli z nich.

V obou případech je uživatel automaticky autentizován pro všechny chráněné Web stránky. Například, pokud uživatel nejprve použije Web Email, pak může bez dalšího přihlašování přejít na video servery.

Odhlášení

Centrální autentizace umožňuje přístup k většímu počtu chráněných zdrojů. Pro zamezení neautorizovaného přístupu je třeba dát pozor na správné odhlášení při ukončení práce. Všechny autentizované Web servery umožňují odhlášení z CAS, které opět platí pro všechny aplikace. Stejného výsledku jako odhlášením lze také dosáhnout ukončením prohlížeče, ale zde je třeba dát pozor na to, zda se podařilo uzavřít skutečně všechna okna prohlížeče a nezůstalo nějaké skryto. Úspěšnost odhlášení lze ověřit otevřením autentizační stránky CAS. Pokud bylo odhlášení úspěšné, objeví se formulář pro autentizaci, jinak stránka s možností odhlášení.

Bezpečnost autentizace

Heslo je při použití CAS daleko bezpečnější než při normálním způsobu autentizace Web stránek. Posílá se totiž pouze jednou, na autentizační Web stránce CAS. Web server CAS je chráněný, nemají na něj přístup uživatelé a přístup na něj je šifrován. Vlastní heslo se po ověření identity okamžitě maže a dále se už nepoužívá. Vlastní chráněné Web stránky obdrží pouze login autentizovaného uživatele. Nehrozí zde tedy nebezpečí přečtení hesla nějakou podvrženou nebo špatně napsanou Web aplikací na serverech, kde mají přístup běžní uživatelé.

Jak to funguje?

Po ověření identity uživatele vygeneruje CAS náhodné session cookie, které odešle zpět prohlížeči v požadavku přesměrování zpět na původní chráněnou Web stránku. Prohlížeč toto session cookie zašle chráněnému Web serveru, který si ověří jeho platnost a povolí přístup na chráněnou stránku. Vlastní session cookie neobsahuje žádné citlivé informace a má platnost do konce běhu prohlížeče, maximálně ale 24 hodin. Pokud vyprší jeho platnost a autentizace na CAS zůstává platná, je transparentně vygenerováno nové session cookie. Při uzavření prohlížeče se session cookie zruší, čímž je ukončena autentizace na CAS. Platnost session cookie si každý Web server ověřuje u CAS co minutu. Při odhlášení centrálně na stránce CAS tedy přestanou platit všechny session cookie nejpozději do minuty. Podrobněji o použitém protokolu a software viz http://welogin.org/.

Zpět na návody CVT

Připomínky k této stránce zasílejte na adresu lampa@fit.vutbr.cz

Nahoru