Что дает мне Kerberos, а LDAP нет?

Question

Сейчас я работаю над проектом, где у меня есть CMS с плагином, который позволяет мне аутентифицировать пользователей через LDAP. Все идет нормально. Я построил сервер LDAP. Плагин работает. Я проверяю подлинность Клиент говорил об использовании LDAP для авторизации и Kerberos для аутентификации (даже если аутентификация LDAP уже работает). Из того, что я могу сказать, Kerberos действительно для аутентификации пользователя, который пытается получить доступ к некоторой конкретной хост-машине. Это верно? Или я что-то упустил? LDAP пока кажется адекватным. Я не знаю, зачем мне нужен еще один слой. Я знаю, что могу использовать Kerberos и использовать LDAP в качестве базы данных принципов, но я не знаю, что на самом деле могло бы дать мне то, что LDAP уже не дает мне.

Answer 1

Kerberos позволяет вам в некоторых случаях использовать единый вход.Например, вы вошли в свой ПК с Windows, используя корпоративное имя пользователя / пароль.Если вы запустите команду klist в Windows, это покажет, что, просто войдя в свой ПК, у вас уже есть билет Kerberos для вашего домена (Active Directory) «принципал».Когда пользователь затем переходит на внутренний веб-сервер, который является частью того же корпоративного домена Kerberos / AD, то можно обойти повторную аутентификацию (вот почему это единый вход).Затем вы можете выполнить авторизацию на основе групп LDAP или некоторых других методов.Kerberos имеет смысл использовать в крупных корпорациях, так как они, скорее всего, уже имеют AD со всеми корпоративными правилами безопасности.SSO тоже удобнее.