我想知道LDAP是否可以将Kerberos用作数据库类型?我有一个使用LDAP的系统,我的SA说可以使用Kerberos作为LDAP数据库类型,我不需要进行任何编程更改,但系统更安全!
答案 0 :(得分:4)
您可以将LDAP与Kerberos一起使用。最佳示例是Active Directory。 AD是一种协作工具,包括LDAP,Kerberos,DNS& NTP。
您可以配置LDAP以保存LDAP用户信息&使用Kerberos进行单点登录的用户授权。您可以使用389-ds作为LDAP并将Kerberos与其集成。 您可以检查相同的http://tech.groups.yahoo.com/group/linuxvadapav/message/4148这不包括kerberos部分,但您将能够使LDAP工作正常。
对于协作套件,您可以使用免费IPA http://freeipa.org/page/Main_Page
答案 1 :(得分:2)
LDAP与数据库无关。 LDAP只是一种协议。
协议定义为: “......用于在计算系统和电信系统之间或之间交换这些消息的数字消息格式和规则系统。” http://en.wikipedia.org/wiki/Protocol_(computing)
“轻量级目录访问协议(LDAP; /ɛldæp/)是一种应用程序协议,用于通过Internet协议(IP)网络访问和维护分布式目录信息服务。1 LDAP是根据ASN定义的。 1并使用BER传输。“ http://en.wikipedia.org/wiki/Lightweight_Directory_Access_Protocol
答案 2 :(得分:-1)
您可以使用Kerberos身份验证保护对现有LDAP数据库的访问。大多数LDAP服务器实现都支持通过SASL API进行身份验证。 SASL是身份验证的通用抽象,支持不同的方法。其中一种方法是GSSAPI,它允许包装Kerberos身份验证。例如,这是在Active Directory和FreeIPA中完成的,它们都允许Kerberos身份验证,并且还在LDAP中的用户条目中存储Kerberos凭据。
OpenLDAP有一章致力于配置基于SASL的身份验证:http://www.openldap.org/doc/admin24/sasl.html
389-ds是另一种流行的开源LDAP服务器,也支持SASL身份验证。您可以在此处详细了解如何保护对其的访问权限:https://access.redhat.com/site/documentation/en-US/Red_Hat_Directory_Server/9.0/html/Administration_Guide/SecureConnections.html
上面的OpenLDAP和389-ds示例假设您的组织中已部署了Kerberos基础结构。如果您需要部署一个,我建议您查看FreeIPA,目前可以在Fedora和RHEL衍生产品中使用。