# Windows-Anmeldung weiterreichen?



## TheFan1968 (6. Feb 2013)

Hallo liebe Community!

Ich suche einen Ansatz für mein Problem, kann aber weder bei Google oder hier was wirklich richtungweisendes entdecken...;(

Ich entwickle ein kleines Java-Tool, das die Konfiguration einer aus SQL-Prozeduren bestehenden Datenbankanwendung (Sybase ASE) anzeigt und diese bearbeitbar macht.
Dieser Teil der Anwendung ist auch unproblematisch...

Aber da gibt es eine weitere Funktionsanforderung:
Der User soll sich einzelne Prozeduren auch im Quelltext ansehen können und diese ggf. auch ändern können, was mit Hilfe von svn-kit geschieht und auch nicht das eigentliche Problem ist.

*Gerne möchte ich aber dem User ersparen, dauernd Passwörter einzutippen*, weshalb ich mich frage, ob man die aktuell bestehende Anmeldung des Windows-XP-Clients, die hier auch die Authentifizierung für das svn darstellt, nutzen kann um sich im svn anzumelden.

Dazu müsste ich theoretisch den Usernamen und das Passwort an svn-kit übermitteln, welches sich dann korrekt authentifizieren kann...

NTLM und LDAP sind hier sicherlich die richtigen Schlüsselwörter, doch finde ich dort immer nur Ansätze, die ein bekanntes Login und Passwort voraussetzen und dieses nicht z.B. aus den Umgebungsvariablen ermitteln.

Gitb es für das von mir angedachte "weiterreichen" der bereits bestehenden Anmeldung auch einen Ansatz oder sollte ich doch einfacher nach dem passenden Passwort fragen?

Vielen Dank für eure Hilfe!

Gruß, Pete


----------



## tröööt (6. Feb 2013)

also auch wenn man sich hier ganz krum was mit jni/jna zusammenbastelt ... dürfte es trotzdem schwer werden ...

das problem liegt im verfahren wie passwörter in der regel geprüft werden ...

beim anlegen des passwortes wird dies einmal durch eine hash-funktion geleitet und nur der hash gespeichert ... hash darum damit eine umkehrung nicht möglich ist ...
wenn sich nun ein user anmeldet wird aus dem kennwort was er eingegeben hat ebenfalls ein hash berechnet und dieser mit dem hinterlegten verglichen ... und wenn diese übereinstimmen wird angenommen das es das richtige passwort war ...

natürlich kann man die hash-funktion auch soweit ausreißen das natürlich auch andere passwörter den gleichen hash ergeben ... allerdings enthalten diese dann meist zeichen unterhalb von 0x20 ...

so wie du es dir vorstellst ... das PLAIN-passwort was eingegeben wird zu speichern dürfte sich als unmöglich herrausstellen ... denn selbst viele keylogger-driver werden erst nach der win-anmeldung richtig geladen ...

man müsste also etwas in den boot einschleusen was dann die tastatureingabe auslesen kann ohne das zusatz-software geladen werden muss die erst nach der win-anmeldung verfügbar wird ... und das ist mit java defintiv UNMÖGLICH


----------



## KSG9|sebastian (6. Feb 2013)

Funktionieren tut das nur wenn ihr mit Kerboros oder ähnlichem arbeitet und auch euer SVN eine Authentifizierung via z.B. LTPA erlaubt - und das kann ich mir kaum vorstellen.

Evtl kommst du weiter wenn du dir mal Infos zum Thema Java SSO besorgst.


----------



## TheFan1968 (6. Feb 2013)

tröööt hat gesagt.:


> also auch wenn man sich hier ganz krum was mit jni/jna zusammenbastelt ... dürfte es trotzdem schwer werden ...



Das hatte ich schon vermutet, sonst hätte man ja auch bestimmt bei der Google-Suche was dazu gefunden...
Das ist wohl er eine verschlossene Quelle...



			
				KSG9|sebastian hat gesagt.:
			
		

> Funktionieren tut das nur wenn ihr mit Kerboros oder ähnlichem arbeitet und auch euer SVN eine Authentifizierung via z.B. LTPA erlaubt - und das kann ich mir kaum vorstellen.



:idea:
Kerberos wäre noch eine Möglichkeit... denn schließlich nutzt ja unser svn die Anmeldenamen und Passwörter... Hinter den WinClients liegt ja grundsätzlich ein Unix-System im Hausnetzwerk.
Da muss ich mal die Server-Jungs befragen...

Das werde ich mal weiter verfolgen....

Danke erstmal für die ersten Hinweise


----------



## TheFan1968 (7. Feb 2013)

Die Usability muss erst einmal warten, die Verfügbarkeit meines Tools ist wichtiger, welches dann in der ersten Version eben die Passwörter abfragen wird...

Trotzdem "nervt" mich dieser Umstand und ich werde an einer anderen Lösung dann weiter arbeiten... 

SSO und Kerberos sind da sicherlich die entscheidenden Hinweise..


----------

