Portál AbcLinuxu, 6. května 2025 11:39

Dotaz: Kerberos - zabezpečení Java aplikace

31.5.2014 13:28 Drak
Kerberos - zabezpečení Java aplikace
Přečteno: 454×
Odpovědět | Admin
Ahoj, chtěl bych zabezpečit mojí Java web aplikaci umístěnou na hostingu pomocí protokolu KERBEROS. Zajímalo by mně co vše je nutné zajistit. Nyní mám uživatelské účty v MySQL databázi. Jak velké změny v aplikaci obnáší tato změna? Děkuji
Nástroje: Začni sledovat (1) ?Zašle upozornění na váš email při vložení nového komentáře.

Odpovědi

31.5.2014 19:11 NN
Rozbalit Rozbalit vše Re: Kerberos - zabezpečení Java aplikace
Odpovědět | | Sbalit | Link | Blokovat | Admin
Tak Kerberos se pouziva jako sitovy autentzacni mechanizmus napriklad v kombinaci s LDAP, nebo Sambou. Ma vlastni databazi atd. Co si predstavujes pod pojmem 'zabezpecit web aplikaci'? Muzes to upresnit?
3.6.2014 14:08 Drak
Rozbalit Rozbalit vše Re: Kerberos - zabezpečení Java aplikace
Chci autentizovat uživatele a zajist aby následující komunikace byl šifrována.
3.6.2014 15:30 Filip Jirsák
Rozbalit Rozbalit vše Re: Kerberos - zabezpečení Java aplikace
Šifrovanou komunikaci u webové aplikace zajistíte jedině použitím HTTPS. Autentizaci uvnitř šifrovaného kanálu pak má smysl nějak extra řešit jenom tehdy, pokud je pro vás bezpečnost hodně důležitá a chcete ji mít zajištěnu na více úrovních – třeba i pro případ, že by se v javovské implementaci TLS objevila nějaká chyba podobná Heartbleed. Takže v rámci HTTPS klidně použijte klasický formulář. Pokud byste chtěl vyšší úroveň zabezpečení, pak použijte HTTP Digest. V rámci HTTP autentizace je v některých prohlížečích možné použít i Kerberos, ale to je použitelné jen v případě, že vám nevadí web pro některé prohlížeče znepřístupnit.
1.6.2014 08:24 Ivan
Rozbalit Rozbalit vše Re: Kerberos - zabezpečení Java aplikace
Odpovědět | | Sbalit | Link | Blokovat | Admin
Myslim, ze tohle vlastne s Java nesouvisi. Kerberos je vlastne takovy meta-protokol,kteri je potreba nejak nahackovat to kontretniho protokolu. Ve tvym pripade konkretne do HTTP

http://hc.apache.org/httpcomponents-client-ga/tutorial/html/authentication.html http://fusionsecurity.blogspot.cz/2011/01/how-does-kerberos-actually-work-in-http.html
1.6.2014 19:22 petr_p | skóre: 59 | blog: pb
Rozbalit Rozbalit vše Re: Kerberos - zabezpečení Java aplikace

Přičemž po autentizaci Kerberem je další zabezpečení komunikace ve hvězdách. Implementace se často uchylují k session cookie. To ovšem degraduje zabezpečení následné komunikace na pouhou identifikaci se všemi neduhy jako je možnost MITM nebo replay útoků. Takže nakonec se ještě přibírá TLS.

Z toho důvodu považuji za přímější řešení použít Kerberos již jako autentizační mechanismus v samotném TLS (RFC 2712). Bohužel kvůli mizerné podpoře se prakticky všichni uchylují k prvnímu řešení.

3.6.2014 07:55 nepoviem
Rozbalit Rozbalit vše Re: Kerberos - zabezpečení Java aplikace
Odpovědět | | Sbalit | Link | Blokovat | Admin
Pises o hostingu, takze tipujem, ze ide o public web. Na public weby sa nezvykne pouzivat Kerberos, tam budu asi vhodnejsie veci ako OpenID, OAuth, popr. nieco custom, podla toho co od toho ocakavas. Ale predsa trochu teorie:

Kerberos sa cez web pouziva prostrednictvom tzv. SPNEGO. Dve sikovne implementacie v jave: http://spnego.sourceforge.net/ a https://spring.io/blog/2009/09/28/spring-security-kerberos-spnego-extension. Pouzivatelske ucty v podstate mozes mat aj v MySQL, ale autentifikaciu budes musiet delegovat na "Kerberos". 4 veci, ktore potrebujes: Pri public weboch budes mat v podstate problemy s kazdym bodom ;)

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.