Procurar Resultados :
×Procurar Resultados :
×
Login único no site da intranet usando o protocolo Kerberos, que fornece um mecanismo de autenticação seguro para todos os principais sistemas operacionais, como Windows, Ubuntu, CentOS, RHEL, etc.
O Kerberos permite a autenticação sem senha para login automático na rede do domínio. O protocolo Kerberos simplifica o processo de login, eliminando a necessidade de senhas e aumentando a segurança no ambiente de rede.
Proteja seu site ou aplicativo restringindo o acesso às suas páginas por redes externas. Garanta que apenas usuários autorizados na rede possam acessar o conteúdo, aumentando a segurança e protegendo contra acesso não autorizado de fontes externas.
Kerberos é um protocolo de autenticação baseado em tickets que utiliza criptografia de chave compartilhada para autenticação e envolve um Centro de Distribuição de Chaves (KDC) de terceiros. Ele utiliza uma série de tickets, incluindo Tickets de Concessão de Tickets (TGTs) e tickets de serviço, para verificar a identidade de usuários e serviços.
No Kerberos, nenhuma senha real é enviada; tickets criptografados e chaves de sessão são usados para autenticação segura.
O NTLM funciona com um mecanismo de desafio/resposta que envolve o servidor enviando um desafio aleatório ao cliente. O cliente responde com um valor hash do desafio, incorporando a senha do usuário. Essa resposta hash é enviada de volta ao servidor, que a valida.
No NTLM, as respostas de senha com hash são transmitidas entre o cliente e o servidor durante o mecanismo de desafio-resposta.
Embora ambos os protocolos tenham como objetivo garantir acesso seguro, o protocolo Kerberos é geralmente considerado mais seguro, fornecendo criptografia mais forte e maior resistência contra vários ataques.
O Kerberos usa criptografia forte para autenticar usuários, garantindo acesso seguro a sistemas e recursos.
O protocolo Kerberos verifica a identidade do cliente e do servidor, garantindo que a comunicação seja segura e evitando ataques de personificação.
Kerberos é um protocolo SSO amplamente adotado, suportado por vários sistemas operacionais e aplicativos.
Há algum tempo, comprei o plugin de Integração com o Active Directory/LDA e também usei outros plugins para integrar meu sistema de registro de usuários. Havia algumas incompatibilidades, e meu sistema de registro de usuários não era totalmente compatível. Um membro da equipe me ajudou a resolver todas as incompatibilidades. Ele trabalhou para mim na personalização do plugin até que ele fosse totalmente suportado. Ele nunca havia trabalhado com uma equipe de suporte tão eficiente e dedicada. Trabalho com muitos plugins pagos e nenhuma equipe de suporte se saiu tão bem. Recomendo este plugin 100%.
- agonzalez12A MiniOrange fez um ótimo trabalho com este plug-in. Nos deu exatamente o que procurávamos com a autenticação LDAPS. O suporte foi excelente em nos ajudar a implementar isso. Muito satisfeito!
- brianlaird
Acho que foi bem fácil implementar o LDAP, e ele também tem muitas opções para recuperar informações do LDAP, como e-mail, nome, telefone... então é mais fácil colocar todas essas informações nas suas tabelas. O pessoal do suporte também é muito simpático, o miniorange me ajudou com a minha configuração, que era bem diferente. Recomendo este plugin.
- estoespersonal
Depois de várias tentativas de resolver alguns problemas com o plugin por conta própria, o excelente suporte veio me ajudar mais uma vez. Posso realmente sugerir e recomendar este plugin para todas as suas necessidades. O suporte estará disponível em cada etapa do processo, se necessário.
- markotomic93
Estou bastante impressionado com o excelente nível de suporte, algo raro hoje em dia. O plugin é de nível profissional e oferece todas as funcionalidades anunciadas, e muito mais!
- fabienandreo
Há muito tempo, procuro plugins para meus sites WordPress hospedados e experimentei vários, mas nenhum atendeu às minhas necessidades, como este plugin da Miniorange, cujos gráficos são fantásticos e muito fáceis de usar. Eu tinha um requisito de mapeamento de atributos e LDAPS, e com este plugin, funciona muito bem. E o suporte é impecável. Enviei uma solicitação de demonstração e recebi uma resposta em poucas horas. Eu definitivamente o recomendo.
- mateoowen92
Usei o plugin LDAP da miniOrange para facilitar o login único entre o Active Directory e nosso site WordPress hospedado na hospedagem compartilhada Flywheel. Eles têm uma solução incrível para realizar o login único em sistemas associados a domínios. O pessoal da miniOrange foi muito ágil e prestativo. Devo elogiar a equipe de suporte da miniOrange pela rapidez na resolução dos meus problemas.
- bennettfoddy
Teremos prazer em ajudar, sinta-se à vontade para entrar em contato conosco
Tem dúvidas ou precisa de suporte com a configuração do Kerberos? Estamos aqui para ajudar.
Por que estou recebendo uma solicitação para inserir minhas credenciais?
Isso acontece quando o protocolo NTLM é usado para autenticação em vez do Kerberos.
Isso pode ocorrer por vários motivos:
Posso usar um usuário LDAP existente como principal do serviço Kerberos?
Sim, você pode usar um usuário LDAP existente como principal do serviço Kerberos. No entanto, esse usuário deve ter uma senha definida para nunca expirar. Certifique-se de que essa conta não seja usada por nenhum usuário, pois o aplicativo a utiliza como principal do serviço Kerberos e o keytab correspondente para obter um tíquete Kerberos.
O que é um "cliente Kerberos", "servidor Kerberos" e "servidor de aplicativos"?
Toda a autenticação no Kerberos ocorre entre clientes e servidores. Portanto, qualquer entidade que receba um tíquete de serviço para um serviço Kerberos é chamada de "cliente Kerberos" na terminologia Kerberos. Usuários são frequentemente considerados clientes, mas qualquer entidade principal pode ser um.
O Centro de Distribuição de Chaves, ou KDC, é normalmente chamado de "servidor Kerberos". Tanto o Serviço de Autenticação (AS) quanto o Serviço de Concessão de Tíquetes (TGS) são implementados pelo KDC. Todas as senhas conectadas a cada entidade principal são armazenadas no KDC. Por isso, é essencial que o KDC seja o mais seguro possível.
O termo "servidor de aplicações" geralmente se refere a softwares Kerberizados que os clientes usam para interagir durante a autenticação usando tickets Kerberos. Um exemplo de servidor de aplicações é o daemon telnet Kerberos.
Como os reinos são nomeados? Eles realmente precisam estar em letras maiúsculas?
Em teoria, o nome do reino é arbitrário. Você pode nomear seus reinos como quiser.
Na prática, um domínio Kerberos é nomeado colocando em letras maiúsculas o nome de domínio DNS associado aos hosts no domínio a ser nomeado. Por exemplo, se todos os seus hosts estiverem no "exemplo.com" domínio, você pode chamar seu reino Kerberos como "EXEMPLO.COM".
Se você deseja ter dois reinos Kerberos no domínio DNS "miniorange.com" para Recursos Humanos e Vendas, você pode criar os reinos do Kerberos como "HR.MINIORANGE.COM" e "VENDAS.MINIORANGE.COM"
A convenção para usar letras maiúsculas em nomes de domínios é para distinguir facilmente entre nomes de domínio DNS (que na verdade não diferenciam maiúsculas de minúsculas) e domínios Kerberos.
As revisões recentes do padrão Kerberos especificaram que nomes de domínio em letras maiúsculas são preferenciais e nomes de domínio em letras minúsculas foram descontinuados.
Quais programas/arquivos precisam estar em cada servidor de aplicativos?
Em cada servidor de aplicação, você precisará colocar:
A parte mais importante é a chave de criptografia; ela deve ser enviada ao host do servidor de aplicativos de forma segura. Normalmente, o host principal (host/example.com@REALM) usa essa chave. Vale ressaltar que o cliente de administração do MIT, kadmin, criptografa todas as transferências entre ele e o servidor de administração, tornando seguro usar o ktadd de dentro do kadmin, desde que você não esteja transmitindo sua senha de administrador pela rede em texto não criptografado.
Se você pretende ter logins de usuários interativos em seus servidores de aplicativos, provavelmente também desejará instalar os binários do cliente Kerberos em cada um deles.
O que é GSSAPI?
GSSAPI é uma sigla que significa Interface de Programação de Aplicativos de Serviços de Segurança Genéricos.
A autenticação cliente-servidor é realizada usando a GSSAPI, uma API de uso geral. O motivo é que cada sistema de segurança possui sua própria API e, como as APIs de segurança são muito diferentes, é muito trabalhoso adicionar vários sistemas de segurança aos aplicativos. A API genérica poderia ser escrita por provedores de aplicativos e seria compatível com uma ampla gama de sistemas de segurança se houvesse uma API comum.
O que é autenticação entre domínios?
Qualquer entidade principal do Kerberos pode estabelecer uma conexão de autenticação com outra entidade principal dentro do mesmo domínio do Kerberos. No entanto, um domínio do Kerberos também pode ser configurado para permitir que entidades principais de diferentes domínios se autentiquem entre si. Isso é chamado de autenticação entre domínios.
Isso é feito fazendo com que os KDCs nos dois reinos compartilhem um segredo exclusivo entre reinos, que é usado para validar a identificação dos principais quando eles cruzam a fronteira do reino.
Como faço para alterar a chave mestra?
No Kerberos 5 você não pode alterar a chave mestra.
Você tem a opção de modificar a chave mestra usando o kadmin. A chave mestra, no entanto, é usada para criptografar todas as entradas do banco de dados e provavelmente também é mantida em um arquivo stash (dependendo do seu site). O arquivo stash ou todos os registros do banco de dados não serão atualizados se a chave mestra for alterada usando o kadmin.
Para alterar a chave mestra, o Kerberos 4 oferecia um comando e executava as ações necessárias. Para o Kerberos 5, ninguém (ainda) implementou esse recurso.
Preciso de ajuda? Estamos bem aqui!
