![[EMAIL]](/icons/b/secure6.png) Web server single sign-on
Pro autentizaci prístupu na chránené Web stránky je na FIT pouzívána
centrální autentizace pres Centrální autentizacní server (CAS) FIT. Jako uzivatelské jméno a heslo
je pouzit FIT login a heslo do IS FIT (Unixu).
Prihlásení
Prístup na chránené Web stránky je mozný:
- Prímo z vlastní Web stránky (napr. z Web Emailu). Pokud není uzivatel
autentizován, je prohlízec
presmerován na autentizacní stránku CAS. Po úspesném prihlásení
je prohlízec presmerován zpet na cílovou chránenou Web stránku.
- Z autentizacní Web stránky CAS. V tomto prípade je po úspesné
autentizaci nabídnut seznam vsech dostupných chránených Webu a
lze pokracovat na kterýkoli z nich.
V obou prípadech je uzivatel automaticky autentizován pro vsechny
chránené Web stránky. Napríklad, pokud uzivatel nejprve pouzije Web Email,
pak muze bez dalsího prihlasování prejít na video servery.
Odhlásení
Centrální autentizace umoznuje prístup k vetsímu poctu chránených zdroju.
Pro zamezení neautorizovaného prístupu je treba dát pozor na
správné odhlásení pri ukoncení práce.
Vsechny autentizované Web servery umoznují odhlásení z CAS, které
opet platí pro vsechny aplikace. Stejného výsledku jako odhlásením
lze také dosáhnout ukoncením prohlízece, ale zde je treba dát pozor
na to, zda se podarilo uzavrít skutecne vsechna okna prohlízece a
nezustalo nejaké skryto. Úspesnost odhlásení lze overit otevrením
autentizacní stránky CAS.
Pokud bylo odhlásení úspesné, objeví se formulár pro autentizaci,
jinak stránka s mozností odhlásení.
Bezpecnost autentizace
Heslo je pri pouzití CAS daleko bezpecnejsí nez pri normálním
zpusobu autentizace Web stránek. Posílá se totiz pouze jednou,
na autentizacní Web stránce CAS. Web server CAS je chránený, nemají
na nej prístup uzivatelé a prístup na nej je sifrován. Vlastní
heslo se po overení identity okamzite maze a dále se uz nepouzívá.
Vlastní chránené Web stránky obdrzí pouze login autentizovaného uzivatele.
Nehrozí zde tedy nebezpecí prectení hesla nejakou podvrzenou nebo
spatne napsanou Web aplikací na serverech, kde mají prístup bezní uzivatelé.
Jak to funguje?
Po overení identity uzivatele vygeneruje CAS náhodné session cookie,
které odesle zpet prohlízeci v pozadavku presmerování zpet na
puvodní chránenou Web stránku. Prohlízec toto session cookie
zasle chránenému Web serveru, který si overí jeho platnost a
povolí prístup na chránenou stránku. Vlastní session cookie neobsahuje
zádné citlivé informace a má platnost do konce behu prohlízece,
maximálne ale 24 hodin. Pokud vyprsí jeho platnost a autentizace na CAS
zustává platná, je transparentne vygenerováno nové session cookie.
Pri uzavrení prohlízece se session cookie zrusí, címz je ukoncena autentizace
na CAS. Platnost session cookie si kazdý Web server overuje u CAS co minutu.
Pri odhlásení centrálne na stránce CAS tedy prestanou platit vsechny
session cookie nejpozdeji do minuty.
Podrobneji o pouzitém
protokolu a software viz http://cosign.sourceforge.net/.
Zpet na návody CVT
|
Faculty of Information Technology
![[dnssec]](/common/img/dnssec.png)