Single Sign-On für APEX Anwendungen mit Kerberos

1,137
-1

Published on

Published in: Technology
0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
1,137
On Slideshare
0
From Embeds
0
Number of Embeds
4
Actions
Shares
0
Downloads
11
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide

Single Sign-On für APEX Anwendungen mit Kerberos

  1. 1.   business  by  integration   Seite 1 von 12 SINGLE SIGN-ON FÜR APEX ANWENDUNGEN MIT KERBEROS WENN DER WEBSERVER AUF EINEM LINUX SERVER INSTALLIERT WIRD Autor: Niels de Bruijn Version: 4.2.1 Datum: 27.08.2015
  2. 2.   business  by  integration   Seite 2 von 12 1 HINTERGRUND Die Standard URL von Webapplikationen die mit Oracle Application Express (APEX) erstellt wurden ist <hostname>/apex. Die Authentifizierung erfolgt dann über eine HTML Seite mittels Benutzernamen und Passwort. Wenn der Endanwender jedoch bereits an einer Windows Domäne angemeldet ist, stellt sich die Frage ob in dieser Situation eine doppelte Anmeldung vermieden werden kann (Stichwort „Single Sign-On“). Ist man nicht an der Windows Domäne angemeldet, sollte eine Windows Dialogbox erscheinen, damit eine Anmeldung mit Benutzernamen und Passwort weiterhin möglich ist. In diesem Dokument wird beschrieben, wie die automatische Anmeldung an der APEX Anwendung über Kerberos gegenüber einer Windows Domäne realisiert werden kann. Es wird beispielhaft gezeigt wie die APEX URL geschützt werden kann. Abbildung 1: Empfohlene APEX Architektur mit Apache und Oracle REST Data Services. Anmerkungen: - Das Single Sign-On Verfahren bietet eine erhöhte IT-Sicherheit, da die Kontodaten nicht an den Server übertragen werden. - Obwohl in diesem Dokument APEX Anwendungen geschützt werden, können Sie über diese Art beliebige Anwendungen schützen, solange die Anfragen über Apache laufen. In dieser Konfiguration wird eine Active Directory Domäne (Windows Server 2003/2008/2012) und Client-PCs mit Windows Betriebssystem vorausgesetzt. Angenommen wird, das alle Benutzer sich
  3. 3.   business  by  integration   Seite 3 von 12 gegen Active Directory authentifizieren müssen. Alle Komponenten in Abbildung 1 befinden sich im Intranet. Die Installation von der Oracle Datenbank, Oracle Application Express, Tomcat und Oracle REST Data Services ist nicht Bestandteil dieses Dokuments. Hinweise: - Das Betriebssystem, wo Apache installiert wurde, spielt keine Rolle. Auch muss der Apache Server selbst nicht Bestandteil der Windows Domäne sein. - Wenn Sie Windows Server 2012R2 einsetzen, wird der Einsatz von IIS in Verbindung mit Web Application Proxy statt Apache empfohlen. - Wenn Sie Windows Server 2008 einsetzen, dann stellt IIS in Verbindung mit dem kostenpflichtigen Tool „ISAPI Rewrite 3“ eine geprüfte Alternative da. - Verwenden Sie einen Firewall auf dem Linux Server, damit die Kommunikation mit dem Server nur über den Port 443 (HTTPS) gestattet ist. - Sie können auch Samba 4 als Domain Controller verwenden. - Wenn Sie nicht Apache einsetzen möchten, dann kann Tomcat auch für die Kerberos Authentifizierung konfiguriert werden. Nehmen Sie dazu Kontakt mit uns auf. - Single Sign-On funktioniert für Desktops/Laptops ohne Anmeldung im Browser, weil der Rechner bereits an der Windows Domäne angemeldet ist. Für Smartphones oder Tablets ist eine Anmeldung mit dem Windows Konto notwendig. - Es wird hier von einer Standardinstallation von der Software ausgegangen. Für eine erhöhte IT- Sicherheit sind z.B. alle unverwendeten Apache Module zu deaktivieren. 2 KONFIGURATION DOMAIN CONTROLLER 2.1 DNS EINTRAG FÜR APACHE Um die automatische Anmeldung über Kerberos nutzen zu können, muss die Webseite über einen DNS Namen im Browser geöffnet werden. Dazu wird ein DNS Eintrag im DNS Server benötigt. In diesem Dokument gehen wir vom DNS Namen apex.mt-ag.com aus. Achten Sie darauf, dass der FQDN als (zusätzlicher) Host im DNS Server eingetragen wurde und nicht als Alias. Mit dem Befehl nslookup apex.mt-ag.com können Sie dies verifizieren. Ist der Hostname als Alias eingetragen, dann erfolgt die SSO-Authentifizierung nicht über Kerberos, sondern wird der Endanwender aufgefordert sich mittels Basic Authentication zu authentifizieren. 2.2 KERBEROS SERVICE BENUTZER IN ACTIVE DIRECTORY ERSTELLEN Für die Kerberos Authentifizierung wird ein aktives Computer-Konto, z.B. APEX_SSO, in Active Directory benötigt.
  4. 4.   business  by  integration   Seite 4 von 12 Diesem wird anschließend mit folgendem Befehl der ServicePrincipalName für den HTTP Dienst hinzugefügt und eine Keytab-Datei erstellt: ktpass -princ HTTP/apex.mt-ag.com@MT-AG.COM -mapuser "CN=APEX_SSO,CN=Computers,DC=mt-ag,DC=com" -crypto All -ptype KRB5_NT_SRV_HST -pass <Passwort> -out c:http_apex.mt-ag.com.keytab Hinweise: - Obwohl es auch möglich ist ein Benutzerkonto zu verwenden, wird ein Computerkonto empfohlen, weil hiermit keine Anmeldung am Client möglich ist. - Wenn ktpass verwendet wird, dann kann ein Computerkonto pro Webadresse bereit gestellt werden. Wenn das Konto APEX_SSO für mehrere Adressen verwendet wird, dann kann eine weitere Adresse durch den Domäne-Administrator wie folgt hinzugefügt werden: setspn -a http/apex2.mt-ag.com APEX_SSO - Die Domäne ist in diesem Beispiel MT-AG.COM und die Webadresse ist https://apex.mt- ag.com. Die Domäne muss in Großbuchstaben geschrieben werden und entspricht den Wert der auf einem Client PC unter „Eigenschaften des PCs“ angezeigt wird. - Der Befehl ktpass ist auf einem AD Domain Controller als Administrator auszuführen. - Das Passwort für das Konto wird erst mit ktpass gesetzt und kann daher beliebig gewählt werden. - Die Angabe apex.mt-ag.com bezieht sich auf die Webadresse, die im Browser durch einen Endanwender eingegeben wird. - Obwohl die APEX Umgebung in diesem Beispiel ausschließlich über HTTPS zu erreichen sein wird, ist die Angabe HTTP hinter –princ korrekt. - Der Name für die Keytab-Datei kann beliebig gewählt werden. - Windows 2003 Server kennt die Angabe –crypto all nicht, daher kann stattdessen - crypto RC4-HMAC-NT angegeben werden.
  5. 5.   business  by  integration   Seite 5 von 12 Die unter c: erstellte Datei benötigt der Apache und wird auf einem Linux Rechner unter beispielsweise/opt/httpkeytab kopiert. Dank dieser Datei ist es Apache erlaubt zu verifizieren ob jemand bereits an der Windows Domäne angemeldet ist. 3 KONFIGURATION VON TOMCAT V6, V7 ODER V8 Stellen Sie nach der Installation sicher dass in der Datei server.xml die folgenden Direktiven hinzugefügt sind: <Connector port="8080" protocol="HTTP/1.1" connectionTimeout="20000" maxHeaderCount="-1" maxHttpHeaderSize="65536" URIEncoding="UTF-8" … />
  6. 6.   business  by  integration   Seite 6 von 12 Hinweis: Wenn Sie diese Einstellung nicht vornehmen, kann es zu einer „Page not found“-Meldung im Browser kommen oder Sie bekommen Probleme bei der Darstellung von z.B. Umlauten, wenn Sonderzeichen in einer URL verwendet werden. 4 KONFIGURATION VON ORACLE REST DATA SERVICES V2 ODER V3 Auch sind die Werte für den Connection Pool im Standard zu gering (defaults.xml): <entry key="jdbc.DriverType">thin</entry> <entry key="jdbc.InactivityTimeout">1800</entry> <entry key="jdbc.InitialLimit">20</entry> <entry key="jdbc.MaxConnectionReuseCount">1000</entry> <entry key="jdbc.MaxLimit">20</entry> <entry key="jdbc.MaxStatementsLimit">10</entry> <entry key="jdbc.MinLimit">20</entry> Hinweis: Welcher Wert Sie initial verwenden, hängt von Ihrer Umgebung ab, aber stellen Sie zumindest sicher dass InitialLimit = MinLimit = MaxLimit. 5 KONFIGURATION APACHE SERVER 5.1 NTP INSTALLIEREN Es ist zwingend erforderlich die Zeit auf allen beteiligten Servern innerhalb einer Windows Domäne synchron zu halten, da ansonsten die automatische Anmeldung nicht funktionieren wird. Auf einem Linux-Server wird dies über den NTP Dienst gewährleistet. Dieser Dienst wird über das integrierte Installations-Repository installiert: yum install ntp Anschließend wird der NTP Dämon für den automatischen Start aktiviert: chkconfig ntpd on Stellen Sie sicher dass die Zeit auf dem Domain Controller gleich läuft, wie auf dem Server wo Apache installiert ist. 5.2 APACHE MIT MOD_AUTH_KERB INSTALLIEREN Für den Einsatz von Kerberos als Authentifizierungsprotokoll benötigt der Apache das Modul mod_auth_kerb. Dieses Modul wird zusammen mit Apache über das integrierte Installationsrepository installiert: yum install mod_auth_kerb
  7. 7.   business  by  integration   Seite 7 von 12 Mit dem hinzufügen des HTTPD Dienstes in den Systemstart ist die Installation von Apache inkl. mod_auth_kerb abgeschlossen: chkconfig httpd on Dieses Dokument beschreibt nicht wie man Apache so konfiguriert, das der Zugriff auf https://apex.mt-ag.com (Port 443 mit einem gültigen SSL-Zertifikat) erfolgen kann. Hierzu gibt es bereits viele Beispiele im Internet zu finden. 5.3 ANPASSUNG DER KERBEROS SYSTEMKONFIGURATION Die Datei /etc/krb5.conf kann wie folgt konfiguriert werden: [libdefaults] default_realm = MT-AG.COM dns_lookup_realm = false dns_lookup_kdc = false ticket_lifetime = 24h renew_lifetime = 7d forwardable = true [realms] MT-AG.COM = { kdc = mt-ag.com admin_server = MT-AG.COM default_domain = MT-AG.COM } [domain_realm] .mt-ag.com = MT-AG.COM mt-ag.com = MT-AG.COM Hinweise: - Hinter kdc können statt der Domäne auch mehrere Hosts, getrennt durch ein Leerzeichen, eingetragen werden. - Ein Neustart von Apache ist nicht notwendig, damit die Änderungen in dieser Datei wirksam werden (die Datei wird pro Authentifizierungsvorgang erneut ausgelesen). - Eine gute Beschreibung von dieser Datei finden Sie hier: http://web.mit.edu/Kerberos/www/krb5- 1.12/doc/admin/conf_files/krb5_conf.html 5.4 ANPASSUNG DER APACHE V2.X KONFIGURATION Die Konfiguration des Apache vornehmen, damit die APEX URL geschützt ist: /etc/httpd/conf/httpd.conf: LoadModule auth_kerb_module /etc/httpd/modules/mod_auth_kerb.so LoadModule proxy_module /etc/httpd/modules/mod_proxy.so LoadModule proxy_http_module /etc/httpd/modules/mod_proxy_http.so LoadModule headers_module /etc/httpd/modules/mod_headers.so
  8. 8.   business  by  integration   Seite 8 von 12 # Die zulässige Größe vom HTTP request Header ist im Standard mit 8190 zu restriktiv # eingestellt. Dies muss erhöht werden, damit es nicht zu einem Browserfehler „Bad Request“ # kommen kann. LimitRequestFieldSize 65536 # Schuetzt alle APEX Anfragen <Location /apex> AuthType Kerberos AuthName "Kerberos Login" KrbAuthRealms MT-AG.COM KrbServiceName HTTP/apex.mt-ag.com@MT-AG.COM Krb5KeyTab /opt/httpkeytab/http_apex.mt-ag.com.keytab require valid-user # Wenn man eine Proxy-Direktive verwendet, dann wird REMOTE_USER nicht weitergeleitet, daher wird explizit SSO_USER als Variable gesetzt. RewriteEngine On # Wenn die erste RewriteCondition aktiviert wird, dann wird die Domäne in der HTTP Header Variable weitergeleitet. # RewriteCond %{LA-U:REMOTE_USER} (.+)$ RewriteCond %{REMOTE_USER} (.+)@.* RewriteRule . - [E=RU:%1] RequestHeader set SSO_USER %{RU}e # Weiterleiten von Anfragen an Oracle REST Data Services # Die Weiterleitung kann entweder mit HTTP(S) oder mittels AJP stattfinden: # ProxyPass /apex ajp://localhost:8009/apex # ProxyPassReverse /apex ajp://localhost:8009/apex ProxyPass /apex http://localhost:8080/apex ProxyPassReverse /apex http://localhost:8080/apex </Location> # Statische Dateien von APEX Alias /i/ "/srv/www/htdocs/images/" Nach dieser Änderung ist ein Neustart von Apache vorzunehmen. Hinweis: - Im Verzeichnis /srv/www/htdocs/images sind die statischen Dateien von APEX zu hinterlegen. Diese befinden sich in der APEX Software unter /images. Optional kann man nach der Authentifizierung prüfen ob der Benutzer eine bestimmte Gruppe in Active Directory zugehörig ist (dies gilt dann für alle APEX Anwendungen): ... # Zusaetzliches Modul laden LoadModule authz_ldap_module /etc/httpd/modules/mod_authz_ldap.so ... # LDAP Server und Suchfilter AuthLDAPUrl "ldap://myldapserver.mt-ag.com/OU=Rollen,DC=MT- ag,DC=com?userPrincipalName?sub?(objectClass=user)" # Benutzer fuer die LDAP Anfrage AuthLDAPBindDN "CN=myldapuser,OU=Rollen,DC=mt-ag,DC=com"
  9. 9.   business  by  integration   Seite 9 von 12 # Benutzerpasswort AuthLDAPBindPassword "mypassword" # Die Gruppenzugehoerigkeit pruefen require ldap-group "CN=myldapgruppe,OU=Gruppen,DC=mt-ag,DC=com" # require valid-user ... </Location>   6 AUTHENTIFIZIERUNG IN DER APEX ANWENDUNG Die APEX Anwendung sollte keine Anmeldeseite an den Browser zurückgeben, sondern die Identität annehmen die in der HTTP Header Variable „SSO_USER“ über Apache an APEX weitergereicht wird. Dafür muss ein neues Authentifizierungsschema für die APEX Anwendung erstellt werden: Wenn SSO_USER leer ist, dann wird der Endanwender auf eine statische HTML Seite (index.html) auf Apache weitergeleitet. Diese Seite zeigt dem Endanwender beispielsweise den Text „Sie sind nicht an der Domäne angemeldet.“ an. Hinweis: in diesem Dokument wurde APEX 4.2.3 (oder höher) eingesetzt. Wenn man eine Version < 4.2.3 einsetzt, dann wird „Schema Type= HTTP Header Variable“ nicht vorhanden sein. Die Single Sign-On Fähigkeit lässt sich in diesem Fall dennoch mit einer eigenen PL/SQL Funktion erreichen. Verwenden Sie in der Funktion den Aufruf owa_util.get_cgi_env('SSO_USER'); um den Wert von SSO_USER auszulesen. SSO_USER
  10. 10.   business  by  integration   Seite 10 von 12 7 KONFIGURATION CLIENT PC Wenn sich die Webseite im Internet Explorer nicht in der Zone „lokales Intranet“ befindet oder der Benutzer nicht an der Windows Domäne angemeldet ist, dann wird der Benutzer in einer Dialogbox aufgefordert sich mit dem Benutzernamen und Passwort an der Windows Domäne anzumelden. Erst wenn die Webseite in der Zone "lokales Intranet" aufgenommen wurde und der Benutzer an der Windows Domäne angemeldet ist, erfolgt die Anmeldung über Kerberos automatisch. Im Firefox kann diese Einstellung vorgenommen werden, indem als URL about:config aufgerufen wird. Die Domäne mt-ag.com ist im Atrribut network.negotiate-auth.trusted-uris einzutragen. Wenn alles richtig konfiguriert wurde, dann kann die APEX Anwendung mit einem Browser wie IE 10 oder Firefox 24 aufgerufen werden und die Anmeldung bei APEX erfolgt dann automatisch.
  11. 11.   business  by  integration   Seite 11 von 12 Wichtig: Stellen Sie sicher, dass die Anfragen an den Hostnamen, hier apex.mt-ag.com, nicht an den Proxy-Server weitergeleitet werden, ansonsten geht das Kerberos Ticket „verloren“. Falls Sie einen Proxy-Server im Browser konfiguriert haben, dann sollte daher der Hostname apex.mt- ag.com als Ausnahme hinterlegt werden, ansonsten erhalten Sie die Fehlermeldung „page not found“. 8 WAS PASSIERT DA GERADE? Über die Logdateien von Apache kann man gut mitverfolgen was passiert. Dazu muss die Datei /etc/httpd/conf/httpd.conf eine Zeile „LogLevel debug“ enthalten und es ist ein Neustart von Apache erforderlich. Die Logdateien heißen access_log und error_log. Darüber hinaus ist es möglich mit dem Befehl klist auf einem Client PC herauszufinden, welche Kerberos Tickets aktuell für den angemeldeten Benutzer existieren. Wenn alles korrekt konfiguriert wurde, dann sollte hierüber auch ein Ticket für apex.mt-ag.com angezeigt werden. Übrigens findet die Kommunikation zwischen Apache Server und Windows Domain Controller nur beim erstmaligen Aufruf von /apex statt. Nach erfolgreicher Authentifizierung gibt der Browser beim nächsten Aufruf ein gültiges Kerberos Ticket an Apache mit und wird die Anfrage direkt an APEX weitergeleitet. Noch Fragen offen? Auf https://apex.mt-ag.com finden Sie uns. J 9 WEITERE INFORMATIONEN ZUM THEMA SINGLE SIGN-ON Über Kerberos / mod_auth_kerb: http://blog.hallowelt.biz/wp-content/uploads/SSO_mit_mod_auth_kerb_v3.pdf Single Sign-On konfiguriert in Tomcat statt Apache: https://community.oracle.com/message/12748733 Wenn Sie wissen möchten welche Möglichkeiten es sonst noch für die Realisierung von Single Sign- On gibt, dann schauen Sie sich bitte den folgenden Artikel an: http://wphilltech.com/options-for-windows-native-authentication-with-apex Weitere Tipps wie man ORDS und Tomcat installiert bzw. konfiguriert: http://ora-00001.blogspot.de/search/label/Tomcat
  12. 12.   business  by  integration   Seite 12 von 12 Und jetzt zur Sicherheit noch die kleinen Buchstaben, zusammen „Haftungshinweise“ genannt: In keinem Fall haftet die MT AG für irgendwelche direkten, indirekten, speziellen oder sonstigen Folgeschäden, die sich aus der Nutzung dieses Dokument ergeben. Ausgeschlossen ist auch jegliche Haftung für entgangenen Gewinn, Betriebsunterbrechung, Verlust von Programmen oder sonstigen Daten.

×