Возможно ли реализовать NTLM аутентификацию через eToken?

Question

[Дмитрий Энтелис]

Разработка аутентификации для корпоративного портала.
Доступ к порталу - только с компьютеров домена (интранет)
Заказчик хочет NTLM аутентификацию.

Нюанс в том, что пользователи не знают своих логинов/паролей и входят в систему с помощью eToken ( www.aladdin-rd.ru/catalog/etoken/java/details ).

Как реализовать обычную NTLM аутентификацию мне понятно, равно как понятно что это абсолютно не безопасно, не рекомендовано etc - но заказчик хочет.

Вопрос: возможно ли как то получать данные с этого етокен для какой то более безопасной авторизации? Через java апплет или еще как то - без разницы.

Comments

[Александр Борисович]

вам нужно с браузера работать с железкой? IE-шник более лоялен к разработке т.к имеет встроенные стредства.
В остльный случаях да, либо java аплет либо расширение, js сайта которого будет иметь доступ к dll-ке (c,c++)который имеет доступ к ключу.

[Дмитрий Энтелис]

@Alexufo ну вот мне интересно у кого есть живой опыт)

[Александр Борисович]

@DmitriyEntelis это же клиент банки таких грешат. Приват банк на ява алете прихреначил.
Сами не работали именно с токеном, но плагин делали к FF обращения к железу с сайта. Конечно, в плагинописательство только с головой, при условии что половину подсказывали в сети при отсутсвии хорошей документашки и примеров. Про русскоязычный сегмент молчу)
Ява аплет... собака... яву просит. Но мне кажется это проще всего. На худой конец иешник с его активыксами.

Answer 1

[Виталий Богряшов]

Пусть уже не актуально, но мне самому интересно. Если у сотрудника есть etoken и его машина в домене, как вообще возникла проблема с NTLM-аутентификацией, если она просто должна работать в таких условиях как обычная прозрачная NTLM-аутентификация? или все же условия были другие?

Comments

[Дмитрий Энтелис]

Я честно говоря очень далек от микрософтовских технологий, но как я это понимаю:
Обычная прозрачная NTLM-аутентификация это фактически передача логина пользователя в заголовках в практически открытом виде. Соответственно запрос на раз-два подделывается и вуаля - у пользователя учетка генерального директора. Поэтому задача была написать делать авторизацию на сайте путем взаимодействия сайта и аппаратного токена.

В итоге проект отменился по несвязанным с этой причиной)

[Виталий Богряшов]

Ну я лично своими руками этого не делал, но данные задачи ставил и получал рабочие решения, что NTLM протокол подразумевает обмен только лишь кэш-функциями а более новые потоколы ntlm2, kerberos и т.д. еще больше увеличивают защищенность авторизации. При этом вид авторизации - пароль, аппаратный ключ или какой другой метод - не важно, все равно будет сначала обмен кэшами а потом работа по тикетам сессии. При этом, прозрачная аутентификация (при работе в одном домене разумеется) подразумевает вход во все сервисы без ввода логина/пароля, т.к. пользователь уже авторизован, поэтому уже не важно как именно был авторизован пользователь при входе в Windows. То есть подразумевается, что пользователь входит на внутрисетевой сайт, находящийся в домене, с компьютера, находящегося в том же домене. Лучше, если сайт на Windows-машине, но и на Linux (с самбой) тоже работает.