Qualcuno può descrivere / delineare i meriti relativi dell'uso di Kerberos o LDAP per l'autenticazione in un grande ambiente eterogeneo?
E
Possiamo passare dall'uno all'altro in modo trasparente?
Qualcuno può descrivere / delineare i meriti relativi dell'uso di Kerberos o LDAP per l'autenticazione in un grande ambiente eterogeneo?
E
Possiamo passare dall'uno all'altro in modo trasparente?
Dove possibile usa l'autenticazione Kerberos sopra ogni altra cosa. È stato creato per fornire autenticazione / autorizzazione ed è l' opzione più sicura . L'intera premessa è di scambiare le credenziali in un ambiente non affidabile.
LDAP può essere facilmente configurato in modo errato per inviare credenziali in chiaro tramite la rete. Un modo semplice per prevenire questo è sempre utilizzare LDAPS (TCP636) poiché incapsula tutto il traffico in SSL. Il protocollo LDAP viene spesso utilizzato per l'autenticazione ad hoc / autorizzazione, in particolare per le applicazioni Web che utilizzano l'autenticazione dei moduli.
Can anyone describe/outline the relative merits of using Kerberos or LDAP for authentication in a large heterogeneous environment?
L'autenticazione LDAP è un'autenticazione centralizzata, il che significa che devi accedere con ogni servizio, ma se cambi la password cambia ovunque.
Kerberos è single sign-on (SSO), il che significa che accedi una volta e ottieni un token e non è necessario accedere ad altri servizi.
C'è un compromesso: LDAP è meno conveniente ma più semplice. Kerberos è più conveniente ma più complesso. Le cose sicure sono semplici e convenienti.
Non c'è una risposta giusta. Se hai bisogno di SSO usa Kerberos. Altro LDAP. Si potrebbe anche considerare YP / NIS (su IPSEC) per authn centralizzato.
Il fatto che i falchi della sicurezza di OpenBSD abbiano abbandonato Kerberos ma che il proprio server LDAP potrebbe dirti qualcosa ...
Can we switch between them transparently?
No, non puoi. Beh, forse puoi farlo con PAM. Ma i tuoi utenti noteranno
Leggi altre domande sui tag authentication ldap kerberos