<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">On Mon, Jul 22, 2013 at 9:29 AM, Simo Sorce <span dir="ltr"><<a href="mailto:simo@redhat.com" target="_blank">simo@redhat.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<div class="HOEnZb"><div class="h5">On Mon, 2013-07-22 at 09:23 -0700, Stephen Ingram wrote:<br>
> On Mon, Jul 22, 2013 at 12:18 AM, Martin Kosek <<a href="mailto:mkosek@redhat.com">mkosek@redhat.com</a>><br>
> wrote:<br>
>         On 07/20/2013 02:51 AM, Stephen Ingram wrote:<br>
>         > Is there a way to disable the forms-based login to the WebUI<br>
>         and require a<br>
>         > Kerberos ticket?<br>
>         ><br>
>         > Steve<br>
><br>
><br>
>         Hello,<br>
><br>
>         No, this is currently not possible. Stephen, can you please<br>
>         describe your use<br>
>         case why you want it to be off? This would allow us to<br>
>         consider this as an<br>
>         enhancement for future.<br>
><br>
><br>
> I certainly understand why the feature was added as many devices do<br>
> not have the capability of acquiring a Kerberos ticket. If we want to<br>
> restrict access to devices that *can* acquire a ticket, this would<br>
> prevent credentials from being sent over the wire (even if over a<br>
> secure link), and, thus, provide for increased security. If I'm<br>
> correct about how this form works, it only requires credentials to be<br>
> sent once and then it requests a ticket on the user's behalf. While<br>
> this is better than sending them with each request, it still presents<br>
> an opportunity where credentials can be intercepted, no?<br>
<br>
</div></div>Your's is a valid concern.<br>
Please open a RFE ticket to make the form-based login page/mechanism<br>
disableable.<br></blockquote><div><br></div><div style>Done. Ticket #3810.</div><div style><br></div><div style>Steve</div></div></div></div>