我正在开发一个项目,我现在有一个带有插件的CMS,允许我通过LDAP对用户进行身份验证。到现在为止还挺好。我构建了一个LDAP服务器。该插件有效。我正在验证。客户端一直在谈论使用LDAP进行授权和使用Kerberos进行身份验证(即使LDAP身份验证已经在运行)。据我所知,kerberos实际上是用于验证试图访问某个特定主机的用户。那是对的吗?或者我错过了什么?到目前为止LDAP似乎已经足够我不知道为什么我需要另一层。我知道我可以使用Kerberos并使用LDAP作为原则数据库,但我不知道LDAP实际上会给我什么,而LDAP还没有给我。
答案 0 :(得分:0)
Kerberos允许您在某些情况下本机执行单点登录。
例如,您使用公司用户名/密码登录Windows PC。
如果您在Windows上运行klist命令,它只会通过登录您的PC显示您的域名(Active Directory)" principal"的kerberos票证。
当用户然后转到内部Web服务器(即同一公司Kerberos / AD域的一部分)时,可以绕过重新认证(这就是为什么它是单点登录的原因)上)。
然后,您可以基于LDAP组或其他一些方法进行授权。
Kerberos在大公司中使用很有意义,因为他们很可能已经拥有AD及其周围的所有公司安全规则。 SSO也比较方便。