[Munich-pm] Frage zu HTTP, NTLM, LDAP

Harald Jörg Harald.Joerg at arcor.de
Fr Okt 5 03:19:41 PDT 2012


Hallo Marek,

> vielen Dank fuer Deine Kommentare - spaetestens jetzt ist mir klar, dass ich diese Idee
> (NTLM) mal lieber stecken lasse... habe HTTP::Daemon::SSL zum Laufen bekommen,
> und da kann ich (einigermassen) guten Gewissens auch Basic auth machen - und das 
> gegen LDAP checken. Funktioniert prima - anbei der Code, habe nur die Firmen-Spezifka
> geloescht. Falls noch jemandem eine gute Idee dazu einfaellt - nur her damit :-)

Da kommt's jetzt drauf an, wie paranoid Deine Nutzer sind.  In unserem
Intranet ist sowas gar nicht gern gesehen.  Der Grund liegt darin, dass
SSL nur den Transportweg absichert.  Dein Perl-Code kriegt bei Basic
aber das Domänen-Kennwort der Benutzer im Klartext (Base64 ist keine
Verschlüsselung) mit.  Deine Nutzer müssen also Dir und Deinem
Serverbetrieb soweit vertrauen, dass sie Dir das Passwort geben, mit
denen sie auch ihre Mails lesen etc...  Aus dem Grund haben sich einige
unserer "inoffiziellen" Server, denen das mit NTLM/Kerberos zu
kompliziert ist, von der Ankopplung an den DC verabschiedet und
betreiben ihre eigene Benutzerverwaltung.

Disclaimer: Aus der Praxis wissen wir, dass die meisten treudoof ihr
Domänenpasswort in jedes Formular einklopfen, das es von ihnen verlangt.
--
Cheers,
haj


Mehr Informationen über die Mailingliste Munich-pm