• Bewerte uns auf OMR Reviews: Klick

  • 25Reports geht live, schaut es euch an: Klick

  • Achtet bitte in den Beiträgen darauf, dass ihr keine Informationen teilt, die der DSGVO unterliegen können. Verpixelt bitte die entsprechenden Stellen in Screenshots, postet hier auf keinen Fall Messagetracks ohne Rücksprache und auch in den Log Files können persönliche oder sensible Daten enthalten sein.

    Macht uns auch bitte per PN darauf aufmerksam wenn ihr etwas seht. Schreibt mich (@sören) einfach direkt an. 

  • Zertifikate vom Deutschen Forschungsnetz beziehen (Harica CA)? Klick

Gelöst Moderne Authentifizierung und Plattformstrategie?!

8

869288141

Well-known member
Registriert
29 Oktober 2022
Beiträge
732
Reaktionspunkte
196
Hallo Jan,
dieser Beitrag ist auf Grund deiner Antwort in diesem Beitrag entstanden:
JanJäschke

Beitrag im Thema 'Webportal Login nicht mehr möglich'

Hallo Daniel,

Uhi das ist eine spannende Frage ^^
Soweit mir nun bekannt ist sollte es so funktionieren da vom Windows Server aus kein zusätzlicher Salz oder so verwendet wird. Getestet oder tiefer in Windows gesucht habe ich hierzu aber nicht.

Zum zweiten Teil:
Ich schätze du meintest Basic über TLS.
Basic wird erstmal eine Übergangslösung bis Forms Authentifizierung sauber umgesetzt werden kann.
Warum kein Kerberos:
Ganz einfach, wir möchten die harte Windows Abhängigkeit los werden. Es gab in der Vergangenheit schon immer mal Schwierigkeiten und mit dem loslösen vom Windows Server...
  • Like

JanJäschke schrieb:
Ganz einfach, wir möchten die harte Windows Abhängigkeit los werden. Es gab in der Vergangenheit schon immer mal Schwierigkeiten und mit dem loslösen vom Windows Server wäre es eh noch komplizierter geworden. Daher steht der Forms Ansatz nun schon seit einiger Zeit fest.
Basic ist nur ein Übergang.
Zum Vergrößern anklicken....
Wenn man deine Antwort zwischen den Zeilen liest, könnte man daraus folgendes ableiten:
  • Mit der Einführung von NoSpamProxy als Cloud-Variante werden klassische Verfahren wie Basic Auth, NTLM und Kerberos zunehmend zur Herausforderung. Integrationen an IdPs konzentrieren sich dabei primär auf SAML2 und OAuth 2.0.
  • Die Einführung von OpenID Connect (OIDC) war dabei gewissermaßen der Startpunkt für die Unterstützung moderner Authentifizierungsmethoden.
  • Zusätzlich erschweren die Härtungsmaßnahmen von Microsoft sowie der Browser-Hersteller zunehmend den stabilen Einsatz klassischer Verfahren wie Basic Auth und NTLM.
  • Mit dem Ersatz klassischer Verfahren könnte sich das Produkt im Zuge einer Modernisierung perspektivisch auch stärker vom reinen Windows-Server-Betrieb lösen. Denkbar wären dann auch Plattformen wie Linux-Server oder sogar der Betrieb in Docker-Containern.
  • Damit verbunden könnte es sinnvoll sein, das Produkt künftig optional mit einem eigenen IdP (z. B. Keycloak) auszustatten. Alternativ könnte, sofern bereits ein bestehender IdP in der Umgebung vorhanden ist, dieser angebunden und genutzt werden.
Wie nah liege ich mit meiner Einschätzung an eurem Masterplan?


Gruß,
Daniel
 
Zuletzt bearbeitet:
Haha gar nicht so fern ;)
Geplant war das entfernen von NTLM/Kerberos schon auf Grund der Loslösung von Windows. Dies steht fix auf dem Plan, ist nur eine Frage der Zeit - lieber nah als fern ^^
Das nun eine Basic Implementierung stattgefunden hat ist ausschließlich der Abkündigung von NTLM seitens Microsoft sowie des Hardening geschuldet. Vor allem, dass es nun recht schnell vor der NTLM Einstellung kommen wird.
Basic an sich stellt eigentlich kein Problem dar, Forms ist aber nochmal sicherer und bietet mehr Möglichkeiten.
Hauptproblem sind hier eigentlich die Kunden die keinen AD haben und damit vorwiegend NTLM machen. Da lokales Kerberos erst mit Server 2025 gekommen ist / kommt (grade nicht sicher) wäre das also auch keine saubere Lösung gewesen.

OpenID war damals die Beste Lösung in der Cloud die Authentifizierung zu bewerkstelligen und war zudem ein zweites Standbein als moderne Authentifizierung On-Prem. Auch jetzt schon können damit einige Provider die ODIC machen genutzt werden - hier hattest du ja auch mal ein Problem gefunden, glaube das ist sogar mit v16 gelöst ^^

Eine eigene interne Authentifizierung ist noch in der Diskussion. Sie bietet definitiv ein paar Vorteile und Möglichkeiten, bringt aber auch gefahren mit sich da NoSpamProxy dann für alles verantwortlich ist. Keine unlösbare Hürde, aber eben im Hinterkopf :)

Langfristig ist der Plan dann Linux fähig zu sein, dass dann Containerisiert betreiben zu können und dies dann auch noch per z.B. K8s skalierfähig zu haben ;)

Die Kunden sollen aber weiterhin die Wahl haben zwischen Windows/Linux als Server unterbau.
 
Hallo Jan,
freut mich zu hören. Die AEG-Waschmaschine kannst du gerne an die hinterlegte Adresse schicken. Eine Vorankündigung ist nicht erforderlich. Der Butler ist eigentlich immer vor Ort. ;)

JanJäschke schrieb:
hier hattest du ja auch mal ein Problem gefunden, glaube das ist sogar mit v16 gelöst
Zum Vergrößern anklicken....
Danke für die Erinnerung. Meine Story in Jira erinnert mich ohnehin jeden Monat daran. Der Sekt ist bereits kaltgestellt. Von meiner Seite aus könnt ihr die Version gerne freigeben. 🥳

JanJäschke schrieb:
Da lokales Kerberos erst mit Server 2025 gekommen ist / kommt (grade nicht sicher) wäre das also auch keine saubere Lösung gewesen.
Zum Vergrößern anklicken....
Ich verweise auf einen Artikel von Frank:
www.msxfaq.de

LocalKdc und IAKerb

Frank's Microsoft Exchange FAQ
www.msxfaq.de www.msxfaq.de


Gruß,
Daniel
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Similar threads

M
SQL Express Updates
Antworten
7
Aufrufe
179
mabu
M
F
  • Artikel Artikel
Implementierung und Betrachtung von DNSSEC und DANE aus Kundensicht
Antworten
1
Aufrufe
209
869288141
8
8
Gelöst Fragen zu 25Reports
Antworten
3
Aufrufe
391
StefanCink
StefanCink
X
Mehrere Regeln anwenden bei mehreren Empfängern
Antworten
1
Aufrufe
411
StefanCink
StefanCink
8
Gedanken und Fragen zu PKI-Vorfällen der letzten Wochen
Antworten
5
Aufrufe
164
869288141
8
Zurück
Oben