Результаты поиска :
×Результаты поиска :
×
Единый вход (Single Sign-On) на внутренний сайт с использованием протокола Kerberos обеспечивает безопасный механизм аутентификации для всех основных операционных систем, таких как Windows, Ubuntu, CentOS, RHEL и др.
Kerberos обеспечивает аутентификацию без паролей для автоматического входа в доменную сеть. Протокол Kerberos упрощает процесс входа в систему, устраняя необходимость в паролях и повышая безопасность в сетевой среде.
Защитите свой веб-сайт или приложение, ограничив доступ к его страницам из внешних сетей. Убедитесь, что доступ к контенту имеют только авторизованные пользователи внутри сети, что повысит безопасность и защитит от несанкционированного доступа извне.
Kerberos — это протокол аутентификации на основе билетов, использующий криптографию с общим ключом для аутентификации и включающий сторонний центр распространения ключей (KDC). Он использует серию билетов, включая билеты на предоставление билетов (TGT) и сервисные билеты, для проверки личности пользователей и сервисов.
В Kerberos фактические пароли не передаются, вместо этого для безопасной аутентификации используются зашифрованные билеты и ключи сессии.
NTLM работает по механизму «запрос/ответ», при котором сервер отправляет клиенту случайный запрос. Клиент отвечает хешированным значением запроса, включающим пароль пользователя. Этот хешированный ответ отправляется обратно на сервер, который его проверяет.
В протоколе NTLM хешированные пароли передаются между клиентом и сервером в рамках механизма «запрос-ответ».
Хотя оба протокола направлены на обеспечение безопасного доступа, протокол Kerberos, как правило, считается более безопасным, поскольку обеспечивает более надежное шифрование и повышенную устойчивость к различным атакам.
Kerberos использует надежную криптографию для аутентификации пользователей, обеспечивая безопасный доступ к системам и ресурсам.
Протокол Kerberos проверяет подлинность как клиента, так и сервера, обеспечивая безопасность связи и предотвращая атаки с использованием подмены личности.
Kerberos — это широко распространенный протокол единого входа (SSO), поддерживаемый различными операционными системами и приложениями.
Некоторое время назад я приобрел плагин Active Directory Integration / LDA, а также использовал другие плагины для интеграции моей системы регистрации пользователей. Возникла некоторая несовместимость, и моя система регистрации пользователей оказалась не полностью совместимой. Член команды помог мне решить все эти проблемы. Он работал над настройкой плагина до тех пор, пока он не стал полностью поддерживаться. У него никогда не было такой эффективной и преданной своему делу команды поддержки. Я работаю со многими платными плагинами, и ни одна команда поддержки не справлялась с этим так хорошо. Я рекомендую этот плагин на 100%.
- agonzalez12Компания MiniOrange отлично справилась с разработкой этого плагина. Он предоставил нам именно то, что мы искали в плане аутентификации LDAPS. Поддержка была превосходной и помогла нам внедрить его. Мы очень довольны!
- Брайанлэрд
Думаю, внедрение LDAP было довольно простым, и у него также много опций для получения информации из LDAP, такой как электронная почта, имя, телефон... так что легко получить всю эту информацию в свои таблицы. Сотрудники службы поддержки тоже очень любезны, miniorange помог мне с моей довольно сложной конфигурацией. Я рекомендую этот плагин.
- estoespersonal
После нескольких попыток самостоятельно решить проблемы с плагином, мне снова пришла на помощь замечательная служба поддержки. Я могу смело рекомендовать этот плагин для любых ваших нужд. Служба поддержки будет рядом на каждом этапе, если это потребуется.
- markotomic93
Меня очень впечатлил такой высокий уровень поддержки, который в наше время встречается не так часто. Плагин профессионального уровня и предоставляет весь заявленный функционал, и даже больше!
- fabienandreo
Долгое время я искал плагины для своих сайтов WordPress на общем хостинге и перепробовал множество, но ни один из них не соответствовал моим требованиям так, как этот плагин от Miniorange. Графика плагина просто фантастическая, а пользоваться им очень легко. Мне требовалось сопоставление атрибутов и поддержка LDAPS, и с этим плагином всё работает отлично. А поддержка безупречна. Я отправил запрос на демо-версию и получил ответ в течение нескольких часов. Я определенно рекомендую его.
- mateoowen92
Я использовал плагин miniOrange LDAP для обеспечения единого входа между Active Directory и нашим сайтом WordPress, размещенным на общем хостинге Flywheel. У них отличное решение для реализации SSO на системах, подключенных к домену. Ребята из miniOrange были очень отзывчивы и полезны, я должен похвалить команду поддержки miniOrange за своевременный ответ и решение моих проблем.
- Беннеттфодди
Мы будем рады помочь, не стесняйтесь обращаться к нам.
Возникли вопросы или нужна помощь с настройкой Kerberos? Мы вам поможем.
Почему мне предлагается ввести свои учетные данные?
Это происходит, когда для аутентификации используется протокол NTLM вместо Kerberos.
Это может произойти по нескольким причинам:
Можно ли использовать существующего пользователя LDAP в качестве субъекта службы Kerberos?
Да, вы можете использовать существующего пользователя LDAP в качестве субъекта службы Kerberos. Однако у этого пользователя должен быть установлен пароль, срок действия которого никогда не истечет. Пожалуйста, убедитесь, что эта учетная запись не используется никаким другим пользователем, поскольку приложение использует эту учетную запись в качестве субъекта службы Kerberos и соответствующий файл keytab для получения билета Kerberos.
Что такое «клиент Kerberos», «сервер Kerberos» и «сервер приложений»?
Вся аутентификация в Kerberos происходит между клиентами и серверами. Поэтому любой субъект, получающий сервисный билет для службы Kerberos, в терминологии Kerberos называется «клиентом Kerberos». Пользователи часто считаются клиентами, но любым субъектом может быть клиент.
Центр распределения ключей, или KDC, обычно называют «сервером Kerberos». KDC реализует как службу аутентификации (AS), так и службу выдачи билетов (TGS). Каждый пароль, связанный с каждым субъектом, хранится в KDC. Поэтому крайне важно, чтобы KDC был максимально безопасным.
Термин «сервер приложений» часто относится к программному обеспечению, использующему Kerberos, которое клиенты применяют для взаимодействия и аутентификации с помощью билетов Kerberos. Примером сервера приложений является демон Telnet Kerberos.
Как называются королевства? Действительно ли они должны быть написаны заглавными буквами?
Теоретически, название царства произвольное. Вы можете назвать свои царства как угодно.
На практике домен Kerberos именуется путем написания в верхнем регистре DNS-доменного имени, связанного с хостами в домене, который необходимо назвать. Например, если все ваши хосты находятся в... "example.com" Домен, который вы можете назвать своим царством Kerberos, — это... "EXAMPLE.COM".
Если вы хотите иметь два домена Kerberos в DNS-домене "miniorange.com" Для отделов кадров и продаж вы можете создать области Kerberos следующим образом: "HR.MINIORANGE.COM" и "SALES.MINIORANGE.COM"
Использование заглавных букв в именах областей позволяет легко различать доменные имена DNS (которые на самом деле нечувствительны к регистру) и области Kerberos.
В последних изменениях стандарта Kerberos было указано, что предпочтительными являются имена доменов, написанные заглавными буквами, а имена доменов, написанные строчными буквами, устарели.
Какие программы/файлы необходимо разместить на каждом сервере приложений?
На каждом сервере приложений вам потребуется разместить:
Наиболее важной частью является ключ шифрования; его необходимо безопасно отправить на хост сервера приложений. Обычно этот ключ использует субъект хоста (host/example.com@REALM). Следует отметить, что административный клиент MIT kadmin шифрует каждую передачу данных между ним и сервером администрирования, что делает безопасным использование ktadd из kadmin, если вы не передаете свой пароль администратора по сети в открытом виде.
Если вы планируете использовать интерактивный вход пользователей в систему на ваших серверах приложений, вам, вероятно, также потребуется установить на каждом из них исполняемые файлы клиента Kerberos.
Что такое GSSAPI?
GSSAPI — это аббревиатура, означающая Generic Security Services Application Programming Interface (Универсальный программный интерфейс для служб безопасности).
Аутентификация между клиентом и сервером осуществляется с помощью GSSAPI, универсального API. Причина этого в том, что каждая система безопасности имеет свой собственный API, а поскольку API безопасности сильно различаются, добавление различных систем безопасности в приложения требует значительных усилий. Универсальный API мог бы использоваться разработчиками приложений и был бы совместим с широким спектром систем безопасности, если бы существовал общий API.
Что такое междоменная аутентификация?
Любой субъект Kerberos может установить аутентификационное соединение с другим субъектом внутри того же домена Kerberos. Однако домен Kerberos также может быть настроен таким образом, чтобы субъекты из разных доменов могли аутентифицироваться друг с другом. Это называется междоменной аутентификацией.
Это достигается за счет того, что центры обработки ключевых данных (KDC) в двух областях совместно используют уникальный междоменный секрет, который применяется для проверки идентификации субъектов при пересечении ими границы областей.
Как мне сменить главный ключ?
В Kerberos 5 изменить главный ключ невозможно.
У вас есть возможность изменить главный ключ с помощью kadmin. Однако главный ключ используется для шифрования каждой записи в базе данных и, скорее всего, также хранится в файле stash (в зависимости от вашего сайта). Файл stash или все записи в базе данных не будут обновлены, если главный ключ будет изменен с помощью kadmin.
Для изменения главного ключа Kerberos 4 предлагал команду, которая выполняла необходимые действия. Для Kerberos 5 эта возможность (пока) не реализована.
Нужна помощь? Мы здесь!
