我最近阅读了有关Kerberos及其安全认证用户的优秀算法。
但Kerberos的“缺点”是它需要直接从身份验证服务器手动添加凭据(称为“主体”)(使用Kerberos实现)。
因此,除非我忽略它,否则无法在电子商务中使用经典表单向Kerberos添加新用户。实际上,显然,它会浪费Kerberos原则,因为凭证将通过网络发送,即使它们是使用SSL加密的......
您是否可以确认我是否不能将Kerberos用于要求每个用户创建自己添加自己的登录/通行证的经典网站?这意味着无需Kerberos服务器的管理员。
答案 0 :(得分:2)
就技术功能而言,您可以使用Kerberos作为身份验证信息的后备存储,并且仍然支持SSL上的用户名和密码。它不是理想的Kerberos模型,因为它意味着用户坐在前面的本地系统以外的系统获取密码的副本。但这只意味着您没有使用Kerberos的完整安全功能;这并不意味着Kerberos不起作用。由于其他原因,使用Kerberos可能仍然很方便。
Kerberos的一个肮脏的小秘密是,几乎每个大规模部署它的站点都接受至少一些应用程序的SSL用户名和密码,并验证服务器上的用户名和密码。在很多情况下,没有任何其他好的方法可以做到这一点。对于Web应用程序尤其如此。虽然许多Web浏览器通过Negotiate-Auth支持SPNEGO进行真正的Kerberos身份验证,但这在各种情况下都不起作用(系统本地没有Kerberos,kiosk系统,没有本地Kerberos库的电话设备等。 )。
(我是斯坦福大学的Kerberos管理员,也是我们的Web身份验证系统的维护者,它基于Kerberos,但对大多数用户来说,仍然通过SSL获取用户名和密码,并在中央Web登录服务器上验证它们。)