4. Kerberos
Kerberos是現今最重要的和安全的用戶認證方法之一. 不僅僅因為Kerberos可以實現一次登陸(SingleSingOn), 而且它也不需要在網絡上傳輸密碼. 微軟的AD和蘋果的OD中都支持Kerberos.Mac OS X服務器內置有KDC(Kerberos Key Ditribution Center),KDC可以認證所有的儲存在服務器目錄服務中的密碼是OD的用戶. Kerberos可以使用下面的Mac OS X服務來認證用戶:
? Mail services (POP, IMAP, SMTP)
? AFP, SMB, FTP and WebDAV file services
? SSH, SFTP
? Xgrid
? VPN
A. kerberos的認證過程
它的認證過程經過幾個階段:2. KDC將發布一個憑證準許憑證(Ticket-Granting-Ticket,TGT), 這個有效憑證在以后使用Kerberos化的服務時使用,TGT只在預設的時間內有效, 它被存儲在客戶緩沖中,可以在失效前重新獲得。
3. 當客戶希望使用Kerberos化的服務時,聯系KDC。
4. KDC給客戶分發一個可以是用該服務的憑證(Ticket).
5. 客戶把這個憑證交給該服務.
6. 這個服務會驗證該憑證, 如果該憑證有效,那么用戶被允許使用這個服務。(Kerberos僅認證用戶,而不認證用戶使用其它服務).
注意到,服務不需要知道用戶的密碼和用戶策略. 一旦獲得了TGT, 就不需要提供密碼。
B. 檢查客戶使用Kerberos單一登錄
這一小節中我們將研究Mac OS X使用Kerberos的單一登錄.
1. 使用OD用戶登錄到客戶端
2. 在Finder里, 找到/System/Library/CoreServices并運行Kerberos程序. 你應該可以看到用戶獲得了一個TGT.
3. 在主OD中打開AFP服務(在Server Admin點擊Start), 注意:如果你使用另外一個服務器而不是主OD提供AFP服務(強烈建議使用這種方式), 并且希望支持SSO, 你必須把該服務器添加到Kerberos realm中以建立KDC和該服務器的互信. 請看后面的”OD管理指引“獲得有關分步指導.
4. 在客戶端, 使用Finder登錄到AFP服務器. 你將會發現系統沒有要求你輸入密碼. 你還會發現一個新的用于在主OD上該AFP服務的憑證.
5. 卸裝所有的服務器卷,使用Kerberos程序銷毀那個憑證, 并再次嘗試連接AFP服務器,這一次系統將要求你登錄.
6. 檢查/Library/Preferences/edu.mit.Kerberos文件. 這個是當你在Directory Utility里配置綁定到主OD時自動生成的Kerberos的配置文件. 從”kerberosautoconfig“的man頁中獲得更多的有關此文件的信息.
更多文章、技術交流、商務合作、聯系博主
微信掃碼或搜索:z360901061
微信掃一掃加我為好友
QQ號聯系: 360901061
您的支持是博主寫作最大的動力,如果您喜歡我的文章,感覺我的文章對您有幫助,請用微信掃描下面二維碼支持博主2元、5元、10元、20元等您想捐的金額吧,狠狠點擊下面給點支持吧,站長非常感激您!手機微信長按不能支付解決辦法:請將微信支付二維碼保存到相冊,切換到微信,然后點擊微信右上角掃一掃功能,選擇支付二維碼完成支付。
【本文對您有幫助就好】元
