Apache und Kerberos authentifizierung

Mario Lorenz ml-tlug at vdazone.org
Mi Jun 27 08:45:09 CEST 2007


Am 26. Jun 2007, um 23:58:00 schrieb Maximilian Wilhelm:
> > Andere Frage: Cached der mod-auth-kerb mittlerweile ?
> 
> Hoffentlich nicht.
Warum nicht ? Ein Kerberos-Ticket hat mehrere Stunden Gültigkeit.
Kleinste Auflösung ist dabei das, was als Clock Skew zulässig ist
(idr. 3..5 Minuten). Wo liegt also das Problem, eine erfolgreiche
Auth 30 Sekunden zu cachen ?
 
> > Als ich den das letzte mal probiert hab, musste jeder einzelne Request
> > mittels Kerberos beim KDC verifiziert werden, was aufgrund der
> > Roundtrip-Zeiten und der Last beim KDC gar nicht lustig ist...

Ich sollte vlt. erwähnen, das die zu schützende App ein SVN-Repo war.
Da macht dann ein User bei einem Checkout mal hintereinander ein paar
hundert Requests.
> 
> Dann habt Ihr ein kaputtes Netz und/oder zu wenig KDCs.
> 
Ich will sehen wie Du das besser machst. Ich habe die Kerberos-
Protokoll-Interna jetzt nicht so im Kopf, aber ne Passwort-Verifikation
wird doch bestimmt so 1..2 Roundtrips brauchen. Dazu kommen -- wenn mans
nicht festnagelt -- vorher noch die Resource-Record-Abfragen für den KDC
und die DNS-Abfragen dazu (je mehr KDCs oder AD-Server, desto mehr
Abfragen), und das ganze für jede einzelnen HTTP-Request.

Mario

-- 
Mario Lorenz                            Internet:    <ml at vdazone.org>
                                        Ham Radio:   DL5MLO at DB0ERF.#THR.DEU.EU
The deorbiting of MIR was brought to you by radio FFH and MIRcrosoft, your
specialist for controlled crashes!  (local radio station, on the very day)