3.1Thảo luận ngắn về Kerberos

Một phần của tài liệu Đồ án tin học nghiên cứu về giao thức LDAP (Trang 148)

Không có thảo luận về các hoạt động thư mục xác thực hay khả năng tương tác sẽ được hoàn thành mà không có ít nhất một số đề cập đến việc thực hiện Kerberos 5 của Microsoft, và như thế nào nó chơi với bản phát hành Kerberos khác, chẳng hạn như một từ MIT. Microsoft đã cung cấp

http://www.microsoft.com/windows2000/techinfo/planning/security/kerbsteps.asp trên cấp độ khác nhau của sự tin tưởng có thể đạt được giữa Active Directory và MIT Kerberos cõi. Nếu Kerberos là mới cho bạn, các trang web sau đây cung cấp thông tin chung về giao thức và cách hoạt động:

http://www.microsoft.com/TechNet/prodtechnol/windows2000serv/deploy/kerberos.as p

Tại sao Kerberos nêu trong một chương về khả năng tương tác thư mục? Bởi vì một trong những người đầu tiên, và đôi khi những khó khăn, hurdles trong khả năng tương tác thư mục là có thể truy cập thông tin mà không cần phải nhớ tên người dùng đó và mật khẩu đi với dịch vụ mà. Trong khi đây không phải là một vấn đề khả năng tương tác theo nghĩa, thực tế nói, thư mục của bạn không có giá trị nhiều nếu nó làm cho những điều khó khăn hơn cho bạn và người dùng của bạn. Khi thư mục hoạt động là một phần của phương trình, có hai kịch bản cho dùng Kerberos xác thực:

Có các khách hàng không phải của Microsoft sử dụng một Windows Kerberos authentication service (AS) cho xác thực.

Thiết lập một mối quan hệ tin cậy giữa miền Active Directory và một lĩnh vực phi - Microsoft Kerberos.

Để thực hiện các giải pháp đầu tiên, bạn có thể sử dụng mô-đun PAM hỗ trợ Kerberos vé, hoặc bạn có thể có chức năng dịch vụ Unix như một dịch vụ chính trong các tên miền Active Directory. Giải pháp thứ hai là khả thi chỉ khi một lĩnh vực Kerberos hiện tại đặt ra.

Tôi sẽ không mô tả làm thế nào để thực hiện một trong các giải pháp chi tiết bởi vì nhiều người trong số các ứng dụng của Microsoft chưa là kerberized. Ví dụ, nó sẽ là thuận tiện để tìm kiếm một máy chủ OpenLDAP từ Microsoft Outlook chạy trên một thành viên của một miền Active Directory mà không cần phải xác định một tổ hợp đặc trưng cho OpenLDAP tên/mật khẩu đăng nhập. Tuy nhiên, không có không có cấu hình cho phép các phiên bản hiện tại của Outlook sử dụng cơ chế GSSAPI SASL để xác nhận khi kết nối tới một máy chủ OpenLDAP.[3] Có lẽ điều này sẽ dễ dàng hơn trong tương lai. Để bây giờ, Kerberos có thể hoặc có thể không giúp đỡ trong nhu cầu khả năng tương tác của bạn thư mục. Bạn sẽ cần phải kiểm tra và quyết định cho chính mình.

Một phần của tài liệu Đồ án tin học nghiên cứu về giao thức LDAP (Trang 148)

Tải bản đầy đủ (DOCX)

(188 trang)
w