<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">On Mon, Jul 22, 2013 at 12:18 AM, Martin Kosek <span dir="ltr"><<a href="mailto:mkosek@redhat.com" target="_blank">mkosek@redhat.com</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="HOEnZb"><div class="h5">On 07/20/2013 02:51 AM, Stephen Ingram wrote:<br>
> Is there a way to disable the forms-based login to the WebUI and require a<br>
> Kerberos ticket?<br>
><br>
> Steve<br>
<br>
</div></div>Hello,<br>
<br>
No, this is currently not possible. Stephen, can you please describe your use<br>
case why you want it to be off? This would allow us to consider this as an<br>
enhancement for future.<br></blockquote><div><br></div><div style>I certainly understand why the feature was added as many devices do not have the capability of acquiring a Kerberos ticket. If we want to restrict access to devices that *can* acquire a ticket, this would prevent credentials from being sent over the wire (even if over a secure link), and, thus, provide for increased security. If I'm correct about how this form works, it only requires credentials to be sent once and then it requests a ticket on the user's behalf. While this is better than sending them with each request, it still presents an opportunity where credentials can be intercepted, no?</div>
<div style><br></div><div style>Steve</div></div></div></div>