我们可以仅通过openLDAP构建sso解决方案吗?或者SSO至少需要openLDAP + Kerberos(或类似的东西?)如果openLDAP没问题,我们怎样才能让当前用户的凭证通过LDAP API被其他应用程序认证?有没有C ++ api?
答案 0 :(得分:0)
如果SSO是指当天开始时的一个密码,而在您离开之前没有密码,则LDAP无法轻易单独执行此操作。它可以帮助你整合密码,所以你只需要记住一个(这很好),但你仍然需要反复输入密码,除非你在那之上做了很多工程。
Kerberos实际上可以进行SSO。我认为,应用程序需要在某种程度上特别支持它。
就存储kerberos凭据的LDAP而言,我不确定这是一场胜利。我怀疑它必须以明文形式存储凭证才能与kerberos兼容(并且让我感到紧张的是拥有一个可通过网络访问并包含明文密码的服务)。我不清楚这比存储密码的kerberos数据库更好。
希望这会有所帮助。此外,我对kerberos的经验来自旁观;我已经阅读了_a_lot_,但从未真正使用它。