Zu den FavoritenRSS Feed abonnierenDrucken
Home >
Notes Magazin digital business - TIMETOACT in der Presse - SPNEGO
30. Juni 2009

digital business magazin berichtet in Ausgabe 4-2009

Single Sign-On!

Benutzername, Kennwort?

Ein Passwort weniger: Microsoft Active Directory-Anmeldung für Domino-Web-Anwendungen nutzen!


MIT DER Vorstellung von Lotus Notes und Domino 8.5 hat IBM auf der Lotusphere 2009 weitreichende Verbesserungen im Bereich der Passwortkonsolidierung präsentiert. Neben dem bereits in Version 8.5 enthaltenen Shared Login. einer verbesserten Variante des seit Version 5, bekannten Single Password Login, wird es in einer der kommenden Versionen die Möglichkeit geben, auch die Passworteingabe in einem Browser zu vermeiden. Lotus Domino wird künftig SPNEGO (Simple and Protected GSSAPI Negotiation Mechanism) und den Authentifizierungsdienst Kerberos unterstützen. Das ist ein großer Schritt für die Passwort-Vereinheitlichung und - Vermeidung zu einem Single Sign-On in den Unternehmen.

Risiko Passwort

Mit der Anzahl der IT-Systeme in den Unternehmen steigt auch die Anzahl der Systeme, die eine Authentifizierung mit Benutzernamen und Passwort erfordern. Dieser Umstand ist für Anwender lästig und für die Unternehmen mit hohen Arbeitszeitkosten verbunden. Potenziert werden die Probleme für Anwender durch Passwort -Policies, die die regelmäßige Aktualisierung des Passwortes mit einer vorgegebenen Komplexität erfordern. Die Folg, ist menschlich: Benutzer vergessen Passwörter oder notieren sie sich. Erstere, verursacht aufgrund des Rücksetzens der Passwörter Wartezeiten, Arbeitsausfall und Frustration. Passwörter zu notieren, egal ob auf Post-Its oder elektronisch, ist ein oft unterschätztes Sicherheitsrisiko.

Die Synchronisation von Benutzernamen und Passwörtern über mehrere IT-Systeme hinweg ist ein erster Ansatz, um die Leiden der Anwender zu lindern. Mit der Lotus Domino Option ADSync Iassen sich etwa die Benutzernamen und Passwörter zwischen dem Microsoft Active Directory und dem Lotus Domino Directory synchronisieren. Mit ein und demselben Passwort können sich die Anwender in der Folge an Windows-, Sametime- und Domino-basierten Websites (iNotes, Quickr usw.) anmelden. Der Anwender muss sich aber auch immer noch an den Systemen einzeln anmelden. Ein weiterer Nachteil ist die Latenz der Systeme. Der Passwortwechsel in einem System steht erst nach einiger Zeit an dem anderen System zur Verfügung.



Single Sign-On ist vorteilhaft

Besser als die Synchronisierung von Benutzernamen und Passwörtern ist Single Sign-On. Hierbei ist die mehrfache Authentisierung an unterschiedlichen Systemen nicht erforderlich. Vielmehr erfolgt die Authentisierung an nur einem System. Dieses System stellt nach erforderlicher Authentifizierung dem Benutzer ein Zertifikat (Token) aus, mit dem er sich bei weiteren Systemen ausweisen kann. Diese weiteren Systeme überprüfen die Echtheit des Zertifikats mit einer Anfrage an dem Authentifizierungsserver. Im Idealfall merkt der Benutzer nicht einmal mehr, dass er nun an einem anderen Berechtigungssystem arbeitet.

Lästige Anmeldung

Für Lotus Notes Clients auf Windows Betriebssystemen ist Single Sign-On mit dem "Client Single Logon Feature" bereits seit der Version 5 umgesetzt. Dabei meldet ein Windows Systemdienst den Benutzer am Domino Server an. Wie eingangs erwähnt, wird diese Option mit Shared Login wesentlich verbessert. Auch für Domino Server gab es schon früh Bemühungen, die Anzahl der Authentifizierungsanforderungen zu reduzieren. So existiert seit der Version 5 bereits die Multiserver Session Based Authentication. Web-Anwendungen auf mehreren Domino-Servern können so mit der Anmeldung an nur einem Domino-Server genutzt werden. Diese eine Anmeldung an Domino- Webservern war und ist den Anwendern jedoch lästig. Websites auf Basis des Microsoft Internet Information Server (IIS) erfordern im Internet meist gar keine Anmeldung, weil der Browser die Anmeldung des Anwenders am Windows Active Directory Server an den IIS Server durchreicht. Die zusätzliche Authentifizierungsanforderung ist im Wettbewerb der Plattformen um die Gunst der Anwender ein erheblicher Nochteil für Domino Web-Anwendungen.

So funktioniert’s

Wie funktioniert nun die Anmeldung am Domino Server ohne das Domino –http-Passwort? Mit dem Single Sign-On for Web Clients erfolgt die Anmeldung gegen ein Active Directory auf einem Windows, Domain Controller über SPNEGO. Die Funktionsweise eines SPNEGO-aktivierten Servers ist schematisch in Bild 1 dargestellt. Nach erfolgreicher Authentifizierung durch einen Windows Domain Controller liefert dieser dem Benutzer ein Kerberos-Zertifikat aus, das für weitere Identitätsnachweise verwendet werden kann (Schritte 1 und 2). Stellt der Benutzer mit einem Browser dann eine Anfrage an einen SPNEGO-aktivierten Domino-Server, liefert der Browser ein Kerberos-Ticket mit dieser Anfrage aus (Schritt 3). Dieses Ticket wiederum kann vom Server in einer Rückfrage an den Domain-Controller verwendet werden, um die vorgelegte Identität zu bestätigen (Schritte 4 und 5). Ist diese Bestätigung erfolgt, wird der SPNEGO-aktivierte Server den Benutzer anmelden und eine authentifizierte Session mit dem Benutzer eröffnen ohne ein Passwort abfragen zu müssen. Die Antwort des Servers wird bereits die vom Server genutzte Identifizierungstechnik verwenden (Schritt 5).



SPNEGO im Überblick
Funktionsweise eines SPNEGO-aktivierten Servers



Zwei Welten treffen aufeinander

An den meisten von Windows Single Sign-On for Web Clients profitierenden Arbeitsplätzen treffen in Bezug auf die Authentifizierung zwei Welten aufeinander: IBMs Lotus Domino Directory und Microsofts Active Directory. Der Unterschied in den Authentifizierungsmechanismen ist recht schnell dargestellt: Während Active Directory auf dem, vor mehr als 20 Jahren am MIT entwickelte Kerberos-Protokoll und dessen Ticket-System setzt, kommt bei Lotus Notes und Domino ein Public-Key-Verfahren über das Notes-Remote-Procedure-Call-Protokoll NRPC zum Einsatz. Auf http-Ebene wurde in beiden Fällen vor allem Cookies genutzt, die dem Server eine Information über den User geben. Im Falle des Domino Multi Server Single Sign-On ist diese Information sogar verschlüsselt, sodass selbst ein Diebstahl des Cookie nicht zu einer „Entführung" der Benutzeridentität führt. SPNEGO ermöglicht hier die Verbindung beider Welten - indem Domino anhand der Kerberos Identität den Benutzer des Active Directory feststellen kann, kann er ihn in einen authentifizierten Benutzer des Domino-Directory umwandeln.


Ist ein Browser zur Benutzung der integrierten Windows-Authentifizierung konfiguriert, wird mit der Anfrage, die ein Browser an einen Server stellt, auch ein Kerberos Ticket mitgesendet. Wie bereits beschrieben, kann der Webserver dieses Ticket zur Identitätsfeststellung des Benutzers verwenden. In der Folge ist der Benutzer bereits ab dem ersten Zugriff auf einen Web Server angemel­det. Ein Domino-Server wird in einem solchen Fall ein Cookie zurücksenden, in dem die gerade aufgebaute Session des soeben authentifizierten Benutzers abgelegt ist. Weitere Anfragen gegen diesen Server werden unter Verwendung dieses Cookie stattfinden. Vorteil dieses Verfahrens ist die Einsparung von nach einer Identifizierung unnötiger Kom­munikation zwischen dem Domino ­und dem über den Domain-Controller verfügbaren Active Directory.

Administration entlasten

Mit der Einführung von Single Sign-On für Domino Web-Anwendungen wird die Administration entlastet werden. Bei konsequenterer Nutzung der Pass­wort Policies wird das Intranet zudem sicherer werden. Vor allem aber werden die Anwender von dem Single Sign-On begeistert sein. Auch wenn von IBM of­fiziell nur Windows Clients unterstützt werden, dürften sogar Mac-Clients mit SPNEGO Erweiterungen von dem Single Sign-On profitieren. Erfahrungen damit liegen allerdings zurzeit noch nicht vor. Die Domino Web-Applikationen wer­den an Attraktivität im Intranet gewin­nen, und Domino-Entwickler werden die Möglichkeiten des Rapid Application Development, gerade in Verbindung mit den Neuerungen DOJO und XPAGES, besser ausspielen können.

Die Implementierung des Single Sign-On wird Kenntnisse in SPNEGO, Active Directory und von Lotus Do­mino erfordern. Mit Hilfe einiger Best Practices wird es sogar möglich sein, Domino 6 und Domino 7 Server in das Single Sign-On einzubeziehen.

Weitere Informationen
SPNEGO steht für "Simple and Protected GSSAPI Negotiation Mechanism", ein offener Standard der IETF, der in einer RFC definiert ist. Das Protokoll beschreibt die auto-

matisierte und sichere Aushandlung eines Authentifzierungs-
mechanismus zwischen zwei Systemen. Der konkrete Authenti-
fzierungsmechanismus wird dabei über eine ebenfalls in einem RFC-
Dokument beschriebene generische Programmier-
schnittstelle, der GSSAPI (Generic Security Services Application Program Inter­face), festgelegt. Hierdurch ist es möglich, dass zwei Sicherheitsdienste, die auf unterschiedlichen Technologi­en basieren, miteinander in Kontakt treten können. Einer der Dienste kann dann dem jeweils anderen gesicherte Information über die nach seinen Maßstäben sicher identifizierten Benutzer mitteilen.

Autoren:

Michael Gollmick ist Berater und Softwareentwickler für Anwendungen, die auf Notes- und Domino-Technologien basieren. Seine Aufgaben umfassen neben Enterprise-Integration und Backoffice-Anwendungen auch Erweiterungen für Domino wie die Domino-Intrusion-Prevention-Software (SecureDomino) und ein HTTP Toolkit für Domino.

Felix Binsack ist seit 1994 als Berater, Projektleiter und Produktmanager für Anwendungen auf Basis von Lotus Notes und Domino tätig. Er ist Gründer und geschäftsführender Gesellschafter der TIMETOACT Software & Consulting GmbH. Seit 1996 engagiert er sich in unterschiedlichen Positionen für die Deutsche Notes User Group e.V.