Subversion utilizzando SSPI modulo HTTP vs HTTPS
Domanda
Sto aggiornando il nostro server svn e vogliono cambiare per l'autenticazione di Windows, invece di file htpassword. Ho installato il modulo e riesco a farlo funzionare su HTTP o HTTPS .
Accesso ai pronti contro termine, utilizzando TortoiseSVN , ho 2 scenari:
-
Accesso quando SSPI + HTTPS è stato configurato. Accesso è automatico e funziona come un fascino:)
-
Accesso quando SSPI + HTTP è stato configurato. Accesso mi impone di inserire il mio nome utente e la password di dominio in TortoiseSVN, che è ok, come posso chiedere TortoiseSVN di ricordare le mie credenziali.
Le mie domande è:
Se io uso SSPI + HTTP al posto di SSPI + HTTPS sono il mio password e username, allora cifrati?
Il motivo che mi sto chiedendo è che siamo su una LAN e non sarà mai in grado di accedere dall'esterno e SSL è kindda eccessivo in quanto rende tutto piuttosto lenta: S. Così ho preferirei usare HTTP + SSPI.
Ho cercato la mia password sulla rete utilizzando WireShark e non ha avuto fortuna, il che significherebbe che le credenziali vengono crittografate in effetti :). Potuto trovare solo una linea che ho il sospetto è il mio utente + pass che qualcosa sembrava questa: Autorizzazione: Base Yh2_3 m% erTo_d4fre
Se qualcuno può clearify questo per me o meglio ancora mi collegamento a un punto in cui si afferma che le password sono cifrate quando si utilizza SSPI + HTTP , sarei più gratefull:.)
Cordiali saluti Garrett
** * ** * ** * ** * ** * ** * ** * * Modifica * ** * ** * ** * ** * ** * ** * ** *
Sembra che abbia qualcosa di misunderstod molto importante. Controllare wether ho ragione:):
Accesso svn quando SSPI + HTTP è abilitata, in realtà significa che SSPI è disattivato e che sto usando di base Auth quando si accede, come SSPI richiede SSL. Il che significa che il mio nome utente e password hanno solo il mite crittografia Auth di base, niente come la crittografia SSL.
L'unico posto in cui il modulo SSPI entra in scena è che riceve il nome utente + passano da Basic Auth e poi si usa quelli per verificare l'utente contro il dominio (in un modo sicuro, naturalmente ???) .
Questo è quello che ho potuto dedurre durante la lettura della documentazione, ancora una volta. Chiunque può verificare se ho ottenuto questo diritto?
Cordiali saluti
Garrett
Soluzione
Aggiorna : il comportamento modificato in Subversion 1.8.0: ora Subversion client autenticarsi automaticamente utilizzando il protocollo SPNEGO / NTLM se server lo supporta. Cioè valore predefinito opzione di configurazione per http-auth-types
è negotiate;ntlm;basic
Per impostazione predefinita utilizza la libreria di rete Subversion Negotiate / NTLM solo per le connessioni HTTPS.
KB articolo , che applicabile per qualsiasi client di Subversion / server : http://www.visualsvn.com/support/topic/00040/
Per proteggere dalle intercettazioni e attacchi man-in-the-middle non è raccomandato l'uso di NTLM / autenticazione Negotiate tramite il protocollo HTTP non protetta. Ecco perché questa opzione è disabilitata per default.
Ma se si è costretti a utilizzare il protocollo HTTP, è possibile manualmente i client di Subversion reconfigure. NTLM / negoziare l'autenticazione tramite il protocollo HTTP può essere attivato utilizzando i http-AUT-tipi Subversion di configurazione di opzione. Il valore predefinito per questa opzione è "http-auth-types = base". Al fine di consentire NTLM / autenticazione Negotiate si dovrebbe cambiare questo valore a "http-auth-types = base; negoziare".
L'articolo ha anche istruzioni passo-passo come modificare la configurazione di Subversion.