Como single sign-on obras de autenticação no servidor leão

Video: Single Sign-On for Web Applications

Conteúdo

Video: single sign-on for web applications
Video: single sign-on (saml idp and sp)
Video: single sign-on (autenticação federada)

única autenticação sign-on Mac OS X Kerberos é uma forma segura e indolor para conectar-se a cargas de, amplos serviços que vão Leão únicas quando é configurado como um mestre Open Directory.

Video: Single Sign-On (SAML IdP and SP)

Se um usuário precisa conectar a muitos serviços únicos, ele poderia enviar um nome de usuário e senha para cada serviço, abrindo um caminho para um malfeitor para interceptar e quebrar a senha. A alternativa mais segura é a utilização de Kerberos single sign-on autenticação, em que o usuário digita uma senha uma vez e tem acesso a todos os serviços.

Com Kerberos ativada, a senha nunca é transmitida através da rede. Em vez disso, um sistema de bilhética questões criptografados fichas chamada bilhetes e autentica-lo uma vez (geralmente a partir de janela de login do Mac OS X), e os bilhetes subseqüentes permitir o acesso a outros serviços compartilhados.

Pense Kerberos como passar o dia visitando um parque de diversões popular. A primeira coisa a fazer quando você chegar ao parque é comprar um passe. Esta passagem é o seu bilhete concessão de tíquete Kerberos (TGT), emitido pelo Centro de distribuição de chaves Kerberos (KDC) quando você fazer login para Mac OS X em um diretório compartilhado.

No parque, você paga a taxa de entrada e acessar os fundamentos durante todo o dia. os usuários fazem login uma vez e tenha acesso a todo o parque. No entanto, o passe não significa automaticamente que você pode saltar sobre qualquer viagem ou que você obter cachorro-quente e pipoca. Você ainda precisa de fila para cada passeio e pagar por seus lanches.

Video: Single Sign-On (Autenticação federada)

No Kerberos, o TGT é apresentado ao acessar um serviço, como compartilhamento de arquivos ou e-mail. O KDC cria um novo tíquete de serviço que o cliente usa para se autenticar no serviço. Mas o usuário não é apresentado com uma tela de login depois que o primeiro login.

Quando o parque fecha, o seu passe não é bom para o dia seguinte. No Kerberos, quando você sair, os bilhetes TGT e serviços são destruídos. Se alguém conseguiram descobrir como quebrar no sistema do bilhete, TGTs são bons para um determinado período de tempo apenas: dez horas após o login para Mac OS X Server. E os bilhetes Kerberos são armazenados na memória RAM, e não o disco rígido.

Mac OS X Server é fácil de configurar como um KDC- quando você configurá-lo como um mestre de Open Directory, um KDC é configurado automaticamente. Open Directory também pode fazer uso de outro KDC executado em outro servidor, como um controlador de domínio do Active Directory. No Mac OS X, você pode ver, criar e destruir TGTs usando o aplicativo Ticket Visualizador encontrado em / System / Library / CoreServices.

Veja TGTs e tíquetes de serviço para o usuário atual, digitando klist no Terminal e pressionando retorno. Aqui está um exemplo do que você pode ver:

cliente: ~ lianabare $ klistDefault principais: [email protected] partida Expira Serviço Principal06 / 30/11 14:24:40 06/30/11 00:24:40 krbtgt/[email protected]. COMrenew até 06/30/11 14: 24: 3406/30/11 14:24:41 06/30/11 00:24:40 afpserver/[email protected] até 06/30/11 14: 24: 3406/30/11 14:24:59 00:24:40 06/30/11 06/30/11 http/[email protected] até 14: 24: 3406/30 / 11 14:26:27 06/30/11 00:24:40 xmpp/[email protected] até 06/30/11 14:24:34