Kerberos и LDAP? - PullRequest
Новая
       16

Kerberos и LDAP?

1 голос
/ 06 декабря 2011

Я хотел бы знать, может ли LDAP использовать Kerberos в качестве типа базы данных? У меня есть система, которая использует LDAP, и мой SA говорит, что может использовать Kerberos в качестве типа базы данных LDAP, и мне не пришлось бы вносить какие-либо изменения в программирование, но система стала более безопасной!

Ответы [ 3 ]

4 голосов
/ 13 января 2012

Вы можете использовать LDAP с Kerberos. Лучший пример того же - Active Directory. AD является инструментом для совместной работы, включая LDAP, Kerberos, DNS и NTP.

Вы можете настроить LDAP для сохранения информации о пользователе LDAP и использовать Kerberos для авторизации пользователя для единого входа. Вы, вероятно, можете использовать 389-й как LDAP и интегрировать с ним Kerberos. Вы можете проверить это для того же http://tech.groups.yahoo.com/group/linuxvadapav/message/4148 Это не включает часть Kerberos, но вы сможете заставить работать LDAP.

Для совместной работы вы можете бесплатно получить IPA http://freeipa.org/page/Main_Page

2 голосов
/ 06 декабря 2011

LDAP не имеет ничего общего с базой данных.LDAP - это только протокол.

Протокол определяется как: «... система цифровых форматов сообщений и правила обмена этими сообщениями внутри или между вычислительными системами и в телекоммуникациях».http://en.wikipedia.org/wiki/Protocol_(computing)

"Облегченный протокол доступа к каталогам (LDAP; / ˈɛldæp /) - это прикладной протокол для доступа и обслуживания распределенных информационных служб каталогов по сети Интернет-протокола (IP). 1 LDAP определяется в терминах ASN.1 и передается с использованием BER. "http://en.wikipedia.org/wiki/Lightweight_Directory_Access_Protocol

0 голосов
/ 17 октября 2013

Вы можете защитить доступ к существующей базе данных LDAP с помощью аутентификации Kerberos.Большинство реализаций сервера LDAP поддерживают аутентификацию через SASL API.SASL является общей абстракцией для аутентификации и поддерживает различные методы.Одним из таких методов является GSSAPI, который позволяет обернуть аутентификацию Kerberos.Это делается, например, в Active Directory и FreeIPA, которые разрешают аутентификацию Kerberos, а также сохраняют учетные данные Kerberos в записях пользователей в LDAP.

В OpenLDAP есть глава, посвященная настройке аутентификации на основе SASL: http://www.openldap.org/doc/admin24/sasl.html

389-ds, который является другим популярным сервером LDAP с открытым исходным кодом, также поддерживает аутентификацию SASL.Подробнее о том, как обеспечить к ней доступ, вы можете прочитать здесь: https://access.redhat.com/site/documentation/en-US/Red_Hat_Directory_Server/9.0/html/Administration_Guide/SecureConnections.html

Примеры OpenLDAP и 389-й, приведенные выше, предполагают, что в вашей организации уже развернута инфраструктура Kerberos.Если вам нужно развернуть один, я бы рекомендовал взглянуть на FreeIPA, который в настоящее время доступен в производных Fedora и RHEL.

...