Warum die Verwendung von kerberos wenn Sie tun können Authentifizierung und Autorisierung über ldap?
Sind wir debattieren über den Einsatz von kerberos in big-data-cluster, die wir haben. Unser admin will sich für die Verwendung von ldap für die Authentifizierung und Autorisierung. Ich schaute ins internet und erhielt gemischte Antwort, aber es war kein klares Verständnis für den Grund für die Verwendung von kerberos.
Ich verstehe, dass Sie die Verwendung der kerberos-zusammen mit ldap, aber ich didnt get klares Bild der Vorteile der Verwendung von kerbors + ldap-vs nur ldap. Kann mir jemand bitte erklären?
- Ich denke, kerberos, ist für die Sicherheit und die überwachung von protocoles als LDAP-Authentifizierung und mehr wird bereits die Einstellung gibt es ... die Frage, ldap + kerberos oder ldap 🙁 kann ich wirklich nicht beantworten, cos, ist nicht das gleiche..
- Gute Frage. Warum macht Microsoft die Verwendung von Kerberos für die Active Directory-Authentifizierung? Vielleicht, weil es alte, erprobte, und sicher sein-vor allem, wenn Sie nicht Vertrauen Ihr Netzwerk (packet sniffing, man-in-the-middlle-Angriffe, replay-Attacken, etc.)
Du musst angemeldet sein, um einen Kommentar abzugeben.
Kerberos ist das innerhalb-der-corporate-network Industrie-standard single-sign-on-Protokoll. LDAP wurde immer mehr von einem directory look-up-Protokoll. LDAP allerdings kann auch eine Authentifizierung, die Authentifizierung Aspekt war es verschraubt auf einige Jahre, nachdem das Protokoll selbst konzipiert wurde. Mit LDAP-Authentifizierung, und jedem Authentifizierungsversuch zu führen, dass die Belastung auf die Directory-Authentifizierung-server, also in diesem Sinne, könnte es hammer deine Directory-Authentifizierung-server oft. Mit kerberos nach der ersten Authentifizierung wird der Kunde über ein ticket, das wird gut sein für ein Standard von 10 Stunden, so dass zusätzliche Authentifizierung versucht, nicht zu überlasten Ihre Directory-Authentifizierungs-server wieder. Und der Kunde wird sich darum kümmern, immer Authentifizierung "tickets" zum Ziel, Ressourcen, anstatt die application server tun dies im Auftrag des Kunden, was die Anwendungsserver zu tun haben, wenn die LDAP-Authentifizierung-Mechanismus im Spiel ist. Zusätzlich, LDAP, wenn nicht richtig konfiguriert, sendet Authentifizierungs-versuche im klar text. Sogar, wenn Sie zu tun-verschlüsselte Authentifizierung über SSL, die Sie dann brauchen, um ein SSL-Zertifikat, das zu tun, dann haben Sie auch zu bekommen, um das problem der Speicherung von Benutzername/Kennwort auf jedem application server im Klartext, es sei denn, jemand nimmt das zusätzliche Schritte, um die Verschlüsselung dieses. Kurz gesagt, wie ein Authentifizierungsprotokoll Kerberos ist weit sicherer aus dem Feld, ist de-zentral, und setzen weniger Belastung auf Ihrem Directory-Authentifizierung-Server als LDAP wird. Kerberos in reinen Microsoft Active Directory-Umgebungen tun wird sowohl die Authentifizierung und Autorisierung für Sie, während die directory-look-ups ist immer LDAP. Auch, LDAP nicht single-sign-on. Benutzer müssen immer manuell eingeben, Benutzername/Passwort, während Sie mit der Kerberos-Sie müssen nicht, dies zu tun.
Nun, wenn Sie die Verwendung von Kerberos für die Authentifizierung und LDAP für die directory-look-ups und/oder group-based authorization, als die Beste Praxis, da LDAP ursprünglich war pro die RFCs als ein directory lookup-Protokoll nur. In der Tat, wenn Sie ein tool wie den "Active Directory-Benutzer und-Computer" - Dienstprogramm, was passiert, wenn Sie es verwenden, ist genau dies: Sie übergeben eine Kerberos-Authentifizierung, um sich zu erlauben die Abfrage der AD LDAP-Dienst, und klicken Sie dann Ihrer LDAP-Abfrage gibt von diesem Punkt aus ist nur der Reine LDAP. In gemischten Umgebungen aus Windows-und sagen zum Beispiel Linux, dann kann man immer verwenden von Kerberos für die Authentifizierung, sondern, dass etwas mehr auf Seiten der Anwendung, zum Beispiel benötigen Sie eine keytab generiert für Sie durch die AD-admin, aber group-based authorization werden die LDAP-und natürlich die directory-look-ups ist immer LDAP.
Dein admin wahrscheinlich will Sie zu verwenden gerade von LDAP-den ganzen Weg um, denn das ist die leichtere Strecke zu stehen - er muss nur geben Sie einen AD-Benutzer-Konto-Anmeldeinformationen, die Sie dann haben, zu nehmen und zu konfigurieren, die auf Ihre Anwendung Seite einloggen und dann zulassen group-based authorization und dann das Verzeichnis Abfragen über LDAP.
Diese Frage wirklich bedeutet ein tiefes Verständnis von Kerberos, LDAP versus, und es gibt so viel mehr zu sagen und gelesen, aber ich werde verlassen müssen, der es für jetzt und liefern Sie mit einem link: Kerberos vs. LDAP für die Authentifizierung
ktutil
auf linux (installiert nebenkinit
undklist
) oderktab.exe
auf Windows (installiert mit Sun/Oracle JRE)