VIKWiki:Wiki gyűlés 2006-05-15

A VIK Wikiből

Paraméterek

  • 1319-es szoba
  • 2006.05.15. 18:00

Jelenlévők

Borsi, Bandita, Hege, Jenő, Marvel, Palacsint, SoTi, SzaMa, Totesz, Void, Zee

Történtek

  • Void beszélt a Liberty Alliance-ról, ami egy egységes specifikáció Single Sign On rendszerhez. Ez azért is jó, mert a követelmények egyharmada már megvan a kszkban. Ez csak webes alkalmázasokhoz jó, de nekünk pont az kell.
  • Schacc. Össze lehet-e egyeztetni az SSO profillal? Void válasza: Nem szerencsés a kettőt egyesíteni, mert egyik halmaz sem foglalja magába a másikat. A rendszerben a két profil együtt is létezhet, azokat a felhasználó "összefederálhatja".
  • Szükség lesz a viren https azonosításra, mert kellhet az SSO-hoz. SzaMa felvetette, hogy vehetnénk (nyerhetnénk) certificate-t, de ez nem a legszerencsésebb, mert a kszk tervei között van digitális aláírás szolgáltatása, és ezzel ütközne.
  • Zee felvetette, hogy valahogy kezelni kéne az adatbiztonság problémáját. A felhasználóknak legyen lehetősége megadni, hogy melyik partneroldal mit láthasson róla. (később kialakult a kép egy mátrixról, amelyben partneroldalak és felhasználói adatok szerepelnek, és pl pirossal jelölve vannak azok az adatok, amik az adott partner szolgáltatásának igénybevételéhez szükséges) Adatbiztonság szempontjából fontos lenne még, hogy a felhasználó által feltöltött dolgokért ő maga vállalja a felelősséget (pl szerzői jogokat sértő anyag az IS-en). A probléma itt az, hogy nem tudjuk biztosítani, hogy a felhasználó a saját adatait adja meg.
  • Zee másik megjegyzése, hogy oktatók is regisztrálhassanak. Ennek senki semmi akadályát nem látta.
  • Marvel javasolta, hogy a kolifelvételi is mehetne automatikusan, digitálisan, akár schacc-on keresztül. Ezzel az a baj, hogy schacc-hoz kötné a kolifelvételit, és bár nem lenne kötelező regisztrálni, rákényszerülnének az emberek.
  • Bandita: Az SSO szép és jó, de kell egy központi hely, ami mindent tárol. Ki kezelje azt? Bizalmi kérdés, de a jelek szerint ez megoldható, a kszk-val senkinek sincs gondja.
  • SzaMa szeretné, ha a Neptunból ki tudnánk nyerni adatokat (pl.: egy hallgató felvett tantárgyai). Ez technikailag menne, de a neptun fejlesztőkkel nehéz szót érteni, másrészt kérdéses az egyetem motiváltsága.
  • Kik lehessenek partnerek? VIR, wiki, pizzás, qpa... bárki? Kérdéses a bizalom. Ha akárki lehet, az emberek nem biztos, hogy szívesen megadják az adataikat. Egy rosszul megírt oldal könnyen feltörhető, és lehetővé válik a userek adatainak loggolása. A partnerek elfogadását felügyelhetné az RVT.
  • Marvel szerint, az egyes partneroldalaknak külön-külön kell megadni, mit láthatnak a felhasználó adataiból.
  • SzaMa említette, hogy "visszafelé" is kellene ellenőrizni, vagyis hogy ne mondhassa akárki azt, hogy hallgató, vagy hogy tanár. Ebben is segíthetne a neptun.
  • Zee: Hosszútávon mindenképp open source projektekben gondolkodunk. Hosszútávon szeretnénk ha egy egységes portál jönne létre, amelyet más karokon is könnyen be lehet vezetni.
  • Zee mondataiba belekerült a Levlista szó, amely felkeltette Void figyelmét. Lehet-e a Sympa loginja is partnere az SSO szervernek? Vannak olyan emberek akik több mailcímmel vannak regisztrálva. Velük nem nagyon lehet mit kezdeni, mert az SSO-ban mindenképp az kell hogy a felhasználók egyediek legyenek. A levlistával kapcsolatban elhangzott még, hogy az egész most egy kicsit kaotikus és lehetne valami szebb megoldást helyette (pl.: mindenki csak azokkal a tárgyakkal kapcsolatos leveleket kapja meg, amiket felvett)
  • Mit tud az SSO szerver a felhasználó partneroldali jogosultságairól, adatairól? Elvileg attól függetlennek kellene lennie.
  • *Rövidtávú terv*: Pilot-ként kell egy próba SSO szerver és két próbaalkalmazás, hogy lássuk hogy is működik a dolog. Ha megvan egy működő technika, akkor el kell kezdeni gyűjteni a partneroldalak követelményeit.
  • A VIR SSO-t Zee és Hege három-négy héten belül megoldja, míg a szervert Void telepíti. 3-4 héten belül újabb gyűlés várható.

-- SoTi - 2006.05.15.

Single Sign On

Cél: egyszeri bejelentkeztetés több független weboldalra - infosite, vir, wiki...

Az elképzelés

Ma beágy előadáson közelebb kerültünk fél lépéssel a megvalóstáshoz Marcellal, hiszen elkezdtünk gondolkozni.

Felrajzoltunk egy elképzelt struktúrát, átgondoltuk az egyes elemek felelősségeit és nagyjából az interfész dolgokat. A részletes specifikáció elkésztése is folyamatban van.

Komponensek

  • SingelSignOn Szerver (SSO)
    • Tárolja a user infokat (User, pass, egyéb személyes adatok)
    • Tárolja a user profilokat, ami lerja, mit enged látni a User saját adataiból a partnereknek.
    • Tárolja a partneroldalak userekkel kapcsolatos információi (Publikus, nem publikus). Pl jogok, tevékenységek stb.
  • Partneroldalak
    • Igényekkel rendelkeznek User információk tárolására
  • Interfész
    • WebService a partneroldalak felé, az authentikációhoz
    • SSO szerveren futó admin oldalak

Működés

Bejelentkezés

A partneroldalon van egy bejelentkezés link (vagy megnyitáskor egyből átirányít). Erre kattinva átirányít a sso weblapra, urlben átadva egy visszahívási urlt. Az sso weblap a közetkezőket teszi:

  • Ha a user még nem jeletktezett be, bekéri a jelszót, siker esetén letol egy session cookiet (sso weblaphoz), generál egy, a partnerhez tartozó usertokent, és visszahívja a partnert az átadott url-en, átadva a usertokent.
  • Ha a user már bejelenetkezett a gépen, akkor az sso weblap a session cookie alapján jelszókérés nélkül behitelesít.

Ezek után a partneroldal a usertoken alapján az sso-tól webservice-en keresztül lekérdezi a bejelentkezett user adatait.

-- Zee - 2006.04.19.

mindenféle backendes dolog

  • sql db helyett Kerberos és LDAP? (SCH acc mintájára/együtt vele)
    • authorizáció: Kerberos5 (biztonságos jellegű)
    • authentikáció: LDAP (sémakiegészítéssel, enterspájz szabvány)
    • signed-on információ: a kiszolgáló appban (iinfosite-authd) -- LDAP queryk, ticketellenőrzés stb.
    • (saját) tapasztalatok alapján klienshakkolál nélkül nem igazán lehet egyszerűen SSO-t csinálni, az appszerver támogatása kell hozzá
  • a SCH acc vs. virauth pro-con dolgokkal kapcsolatos threadet próbáltam megkeresni a sysadmin listán, de egyelőre sikertelenül, Voidot mint kollektív memóriát lenne érdemes megkérdezni :)

-- Tamás - 2006.05.14.

Aadaam & Void beszélgetéseinek röpke kivonata

[Aadaam leveléből webre vágta Bandita]

Az utolso hetekben Voiddal beszelgettunk egy Single Sign-On megoldasrol. Ez a Liberty rendszert hasznalta volna, leven az van a Sun altal tamogatva.

http://lasso.entrouvert.org/

Ezt a mi kis LDAP/kerberos alapu rendszerunkre tok jol tudjuk alkalmazni, maszat meg balu ossze tudna vele mukodni, leven sun vasokon Identify Service-kent van agyonreklamozva, es nem mellesleg a fenti project egyik alapnyelve a PHP.

(Igaz, bizonyos SSO-t a kerberos is tamogat, megse latok sehol ilyet az SchAcc kornyeken...)

Van egy masik rendszer, amit pl. a drupal motor hasznal:

http://openxri.org

Meg van ilyen:

http://www.sxip.com

Asszem ez is tud drupalul.

Fejes Jocó SSO-modulja

Egyszerű webes vir auth alapú megoldás, sch.bme.hu cookie-val, 3 függvénnyel (login, logout, check) és közös adatbázisban tárolt session cookie-kkal megoldva a bejelentkezés-kijelentkezés. Kizárólag HTTPS-t enged, különben (vagy cookie lejárta vagy http kapcsolódás miatt) kijelentkeztet.

-- Bandita - 2006.05.15.

btw: szándékosan hagytátok twikiguest számára írhatóan a webet?

A lap eredeti címe: „https://vik.wiki/index.php?title=VIKWiki:Wiki_gyűlés_2006-05-15&oldid=178487