Discussion :

[tchize_]

Bonjour,

je n'y connais rien en SSO ou en kerberos mais, à priori, ce serait la meilleure alternative pour éviter de stocker des mot de passe en clair dans ma session http afin de se connecter au nom de l'utilisateur courant à des services tiers.

J'ai donc un portail en cours de mise en place. Celui-ci authentifie les utilisateurs (protocole https, method basic), et on veux préserver cette partie.
Ce portail dois se connecter à différents webservice au nom de cet utilisateur pour présenter une aggrégation de différentes sources de données. Actuellement, tous ces service utilisent aussi https/basic. Ce qui nous oblige à stocker dans la webapplication, lors du login de l'utilisateur, son mot de passe. C'est moche et si un méchant pirate accède à ces sessions, on a des mots de passe dans la nature.

D'après ce que j'ai compris, voir le shéma en annexe, je peux demander lors du login, à ma première application, d'obtenir un ticket sur une serveur type kerberos, et forwarder ce ticket aux différentes applications qui se trouvent en dessous. Est-ce vraiment viable comme solution ou ce genre de solution nécessite-t-il absolument que ce soit le browser qui discute avec kerberos (auquel cas je l'ai dans l'os).

Question subsidiaire: est-ce "facile" de mettre en place un kerberos sur un ldap existant?

Merci à tous