Comparteix:

Sistema centralitzat d'autenticació per web

12/06/2020

Des de fa temps els diferents webs del departament han anat augmentant i aquesta descentralització ha dut molts avantatges en general. Però també té alguns inconvenients i n'hi ha un en particular que també fa temps que patim però que darrerament ha esdevingut força molest: haver de posar el nom d'usuari i la contrasenya repetidament per accedir a les aplicacions o als continguts repartits pels nostres webs.

Aquest és un problema que no té una solució perfecta perquè normalment els sistemes centralitzats d'autenticació requereixen adaptar les aplicacions i de vegades fins i tot el comportament dels servidors web. Afortunadament, la tecnologia millora amb el temps i la comunitat de programari lliure és una font inesgotable de solucions i idees. Teníem clar que no volíem dedicar gaires esforços a adaptar les aplicacions però sabíem que caldria fer alguns canvis als servidors web. Vam trobar una solució que semblava feta a mida per nosaltres (mod_auth_tkt) però tenia alguns inconvenients quant a la seguretat. Finalment, un usuari d'aquesa mateixa eina va decidir fer-ne una variant (mod_auth_pubtkt) basada en xifrat asimètric, justament el que nosaltres necessitàvem.

Així doncs, un cop provada l'eina, l'estem començant a implantar poc a poc en els diferents webs que tenim tant al LCAC com a GSI. Així doncs, no us espanteu si quan accediu a una web del DAC aneu a parar a aquest formulari web que us demanarà que introduïu el vostre nom d'usuari i contrasenya de la xarxa interna.Un cop autenticats, tornareu a la pàgina on éreu abans. Tingueu en compte que l'autenticació s'invalida automàticament al cap de 24 hores o quan tanqueu el vostre navegador. D'aquesta manera, no haureu d'autenticar-vos més d'un cop al dia.

Actualització (5 desembre): Els canvis necessaris al gw per a poder implantar el nou sistema d'autenticació web afecten a algunes aplicacions com la firma electrònica, motiu pel qual hem hagut d'aturar temporalment la prova pilot. Al llarg dels propers dies, haurem de cercar una solució per a poder continuar amb aquesta prova. Lamentem les molèsties que tot plegat us pugui ocasionar.

Actualització (15 desembre): Un cop informat l'equip directiu sobre els problemes de l'aplicació de signatura electrònica amb el gw, s'ha decidit seguir amb la oficialització del domini ac.upc.edu (necessària per al nou sistema d'autenticació web) i recomanar que a partir d'ara l'accés des de fora del DAC a l'aplicació de firma electrònica es realitzi via VPN. Així doncs, la implantació del nou sistema d'autenticació pren una nova embranzida.

Actualització (16 desembre): L'accés web via gw a la intranet s'ha configurat amb el nou sistema d'autenticació web. Així doncs, per accedir via web al gw a partir d'ara haureu d'introduir la contrasenya interna.

Actualització (18 desembre): Els problemes de l'aplicació de signatura electrònica amb el gw s'han pogut resoldre satisfactòriament i ara mateix pràcticament totes les zones web ja estan utilitzant el nou sistema d'autenticació web (les que falta per integrar no són d'ús general), tret de les zones amb autenticació privada (per exemple, les d'assignatures), és clar.

Keywords
blog