Suchergebnisse :
×
Single-Sign-On bei der Intranet-Site mithilfe des Kerberos-Protokolls, das Ihnen einen sicheren Authentifizierungsmechanismus für alle wichtigen Betriebssysteme wie Windows, Ubuntu, CentOS, RHEL usw. bietet.
Kerberos ermöglicht eine passwortlose Authentifizierung für die automatische Anmeldung innerhalb des Domänennetzwerks. Das Kerberos-Protokoll rationalisiert den Anmeldevorgang, indem es die Notwendigkeit von Passwörtern eliminiert und die Sicherheit innerhalb der Netzwerkumgebung erhöht.
Schützen Sie Ihre Website oder Anwendung, indem Sie den Zugriff auf ihre Seiten aus externen Netzwerken beschränken. Stellen Sie sicher, dass nur autorisierte Benutzer innerhalb des Netzwerks auf die Inhalte zugreifen können, was die Sicherheit erhöht und vor unbefugtem Zugriff von externen Quellen schützt.
Kerberos ist ein Ticket-basiertes Authentifizierungsprotokoll, das zur Authentifizierung Shared-Key-Kryptografie verwendet und ein Key Distribution Center (KDC) eines Drittanbieters einbezieht. Es verwendet eine Reihe von Tickets, darunter Ticket Granting Tickets (TGTs) und Servicetickets, um die Identität von Benutzern und Diensten zu überprüfen
Bei Kerberos werden stattdessen keine tatsächlichen Passwörter versendet, sondern verschlüsselte Tickets und Sitzungsschlüssel zur sicheren Authentifizierung verwendet.
NTLM arbeitet mit einem Challenge/Response-Mechanismus, bei dem der Server eine zufällige Challenge an den Client sendet. Der Client antwortet mit einem Hashwert der Herausforderung, der das Passwort des Benutzers enthält. Diese gehashte Antwort wird an den Server zurückgesendet, der sie validiert.
In NTLM werden gehashte Passwortantworten während des Challenge-Response-Mechanismus zwischen Client und Server übertragen.
Während beide Protokolle darauf abzielen, einen sicheren Zugriff zu gewährleisten, gilt das Kerberos-Protokoll im Allgemeinen als sicherer, da es eine stärkere Verschlüsselung und eine verbesserte Widerstandsfähigkeit gegen verschiedene Angriffe bietet.
Kerberos verwendet starke Kryptografie zur Authentifizierung von Benutzern und gewährleistet so einen sicheren Zugriff auf Systeme und Ressourcen.
Das Kerberos-Protokoll überprüft die Identität sowohl des Clients als auch des Servers, stellt so sicher, dass die Kommunikation gesichert ist, und verhindert Identitätsdiebstahlangriffe.
Kerberos ist ein weit verbreitetes SSO-Protokoll, das von verschiedenen Betriebssystemen und Anwendungen unterstützt wird.
Vor einiger Zeit habe ich das Plugin Active Directory Integration / LDA gekauft und auch andere Plugins für die Integration meines Benutzerregistrierungssystems verwendet. Es gab einige Inkompatibilitäten und mein Benutzerregistrierungssystem war nicht vollständig kompatibel. Ein Mitglied des Teams hat mir geholfen, jede einzelne Inkompatibilität zu beheben. Er hat für mich an der Anpassung des Plugins gearbeitet, bis es vollständig unterstützt wurde. Er hat noch nie mit einem so effizienten und engagierten Support-Team zusammengearbeitet. Ich arbeite mit vielen kostenpflichtigen Plugins und kein Support-Team hat das gut gemacht. Ich empfehle dieses Plugin zu 100 %
-agonzalez12MiniOrange hat mit diesem Plug-in großartige Arbeit geleistet. Hat uns mit der LDAPS-Authentifizierung genau das gegeben, was wir gesucht haben. Der Support hat uns hervorragend bei der Umsetzung unterstützt. Sehr zufrieden!
- Brianlaird
Ich denke, es war recht einfach, LDAP zu implementieren, und es gibt auch viele Optionen zum Abrufen von Informationen wie E-Mail, Name, Telefonnummer usw. aus dem LDAP, sodass Sie alle diese Informationen einfacher in Ihre Tabellen aufnehmen können. Die Leute vom Support sind auch sehr nett, miniorange hat mir bei meiner Konfiguration geholfen, die ganz anders war. Ich werde dieses Plugin empfehlen.
- estoespersonal
Nach mehreren Versuchen, einige Plugin-Probleme selbst zu lösen, kam mir erneut der großartige Support zu Hilfe. Ich kann dieses Plugin wirklich für alle Ihre Bedürfnisse empfehlen und empfehlen. Der Support steht Ihnen bei Bedarf jederzeit zur Seite.
- markotomic93
Ich bin ziemlich beeindruckt von dem sehr guten Maß an Unterstützung, das heutzutage nicht mehr so oft vorkommt. Das Plugin ist auf professionellem Niveau und bietet alle angekündigten Funktionen und noch mehr!
- Fabienandreo
Ich habe lange nach Plugins für meine gemeinsam gehosteten WordPress-Seiten gesucht und unzählige Plugins ausprobiert, aber keines davon hat meinen Anforderungen entsprochen, da dieses Plugin von Miniorange fantastisch ist und die Grafik des Plugins sehr einfach zu verwenden ist. Ich hatte eine Attributzuordnungs- und LDAPS-Anforderung und mit diesem Plugin funktioniert es großartig. Und der Support ist einwandfrei. Ich habe eine Anfrage für eine Demo gestellt und innerhalb weniger Stunden eine Antwort erhalten. Ich würde es auf jeden Fall empfehlen.
- mateoowen92
Ich habe das miniOrange LDAP-Plugin verwendet, um die einmalige Anmeldung zwischen Active Directory und unserer WordPress-Site zu ermöglichen, die auf Flywheel Shared Hosting gehostet wird. Sie haben eine großartige Lösung, um SSO auf domänenverbundenen Systemen zu erreichen. Die Mitarbeiter von miniOrange waren sehr reaktionsschnell und hilfsbereit. Ich muss das Support-Team von miniOrange für die schnelle Reaktion bei der Lösung meiner Probleme loben.
- Bennettfoddy
Wir helfen Ihnen gerne weiter, nehmen Sie gerne Kontakt zu uns auf
Haben Sie Fragen oder benötigen Sie Unterstützung bei der Kerberos-Einrichtung? Wir geben dir Deckung.
Warum werde ich aufgefordert, meine Zugangsdaten einzugeben?
Dies geschieht, wenn das NTLM-Protokoll anstelle von Kerberos für die Authentifizierung verwendet wird.
Dies kann mehrere Gründe haben:
Kann ich einen vorhandenen LDAP-Benutzer als Kerberos-Dienstprinzipal verwenden?
Ja, Sie können einen vorhandenen LDAP-Benutzer als Kerberos-Dienstprinzipal verwenden. Für diesen Benutzer muss jedoch ein Kennwort festgelegt sein, das niemals abläuft. Bitte stellen Sie sicher, dass dieses Konto von keinem Benutzer verwendet wird, da die Anwendung dieses Konto als Kerberos-Dienstprinzipal und die entsprechende Schlüsseltabelle verwendet, um ein Kerberos-Ticket zu erhalten.
Was ist ein „Kerberos-Client“, ein „Kerberos-Server“ und ein „Anwendungsserver“?
Die gesamte Authentifizierung in Kerberos erfolgt zwischen Clients und Servern. Daher wird jede Entität, die ein Serviceticket für einen Kerberos-Dienst erhält, in der Kerberos-Terminologie als „Kerberos-Client“ bezeichnet. Benutzer werden oft als Kunden betrachtet, aber jeder Prinzipal könnte einer sein.
Das Key Distribution Center, kurz KDC, wird üblicherweise als „Kerberos-Server“ bezeichnet. Sowohl der Authentication Service (AS) als auch der Ticket Granting Service (TGS) werden vom KDC implementiert. Jedes mit jedem Prinzipal verbundene Passwort wird im KDC gespeichert. Aus diesem Grund ist es wichtig, dass das KDC so sicher wie möglich ist.
Der Begriff „Anwendungsserver“ bezieht sich häufig auf kerberisierte Software, die Clients zur Interaktion bei der Authentifizierung mithilfe von Kerberos-Tickets verwenden. Ein Beispiel für einen Anwendungsserver ist der Kerberos-Telnet-Daemon.
Wie werden Reiche benannt? Müssen sie wirklich in Großbuchstaben geschrieben werden?
Theoretisch ist der Realmname willkürlich. Sie können Ihre Bereiche beliebig benennen.
In der Praxis wird ein Kerberos-Bereich benannt, indem der DNS-Domänenname, der den Hosts im zu benennenden Bereich zugeordnet ist, in Großbuchstaben geschrieben wird. Wenn sich Ihre Gastgeber beispielsweise alle im befinden "beispiel.com" Domäne können Sie Ihren Kerberos-Bereich als bezeichnen „EXAMPLE.COM“.
Wenn Sie zwei Kerberos-Bereiche in der DNS-Domäne haben möchten „miniorange.com“ Für Personalwesen und Vertrieb könnten Sie die Kerberos-Bereiche als erstellen „HR.MINIORANGE.COM“ und „SALES.MINIORANGE.COM“
Die Konvention, Großbuchstaben für Bereichsnamen zu verwenden, dient der einfachen Unterscheidung zwischen DNS-Domänennamen (bei denen eigentlich die Groß-/Kleinschreibung nicht beachtet wird) und Kerberos-Bereichen.
In den jüngsten Überarbeitungen des Kerberos-Standards wurde festgelegt, dass Realm-Namen in Großbuchstaben bevorzugt werden und Realm-Namen in Kleinbuchstaben als veraltet gelten.
Welche Programme/Dateien müssen auf jedem Anwendungsserver vorhanden sein?
Auf jedem Anwendungsserver müssen Sie Folgendes bereitstellen:
Der wichtigste Teil ist der Verschlüsselungsschlüssel. Es muss auf sichere Weise an den Anwendungsserver-Host gesendet werden. Normalerweise verwendet der Host-Prinzipal (host/example.com@REALM) diesen Schlüssel. Es ist zu beachten, dass der MIT-Administrator-Client kadmin jede Übertragung zwischen ihm und dem Admin-Server verschlüsselt, sodass die Verwendung von ktadd in kadmin sicher ist, solange Sie Ihr Admin-Passwort nicht im Klartext über das Netzwerk übertragen.
Wenn Sie interaktive Benutzeranmeldungen auf Ihren Anwendungsservern wünschen, möchten Sie wahrscheinlich auch die Kerberos-Client-Binärdateien auf jedem Server installieren.
Was ist GSSAPI?
GSSAPI ist ein Akronym; Es steht für Generic Security Services Application Programming Interface.
Die Client-Server-Authentifizierung erfolgt über die GSSAPI, eine Allzweck-API. Der Grund dafür ist, dass jedes Sicherheitssystem über eine eigene API verfügt und dass sich die Sicherheits-APIs so stark unterscheiden, dass es viel Arbeit erfordert, verschiedene Sicherheitssysteme zu Apps hinzuzufügen. Die generische API könnte von Anwendungsanbietern beschrieben werden und wäre mit einer Vielzahl von Sicherheitssystemen kompatibel, wenn es eine gemeinsame API gäbe.
Was ist Cross-Realm-Authentifizierung?
Jeder Kerberos-Prinzipal kann eine Authentifizierungsverbindung mit einem anderen Principal innerhalb desselben Kerberos-Bereichs herstellen. Allerdings kann ein Kerberos-Realm auch so eingerichtet werden, dass sich Prinzipale aus unterschiedlichen Realms untereinander authentifizieren können. Dies wird als Cross-Realm-Authentifizierung bezeichnet.
Dies wird dadurch erreicht, dass die KDCs in den beiden Bereichen ein einzigartiges bereichsübergreifendes Geheimnis teilen, das zur Validierung der Identifizierung von Prinzipalen verwendet wird, wenn diese die Bereichsgrenze überschreiten.
Wie ändere ich den Hauptschlüssel?
In Kerberos 5 können Sie den Hauptschlüssel nicht ändern.
Sie haben die Möglichkeit, den Hauptschlüssel mit kadmin zu ändern. Der Hauptschlüssel wird jedoch zum Verschlüsseln jedes Datenbankeintrags verwendet und höchstwahrscheinlich auch in einer Stash-Datei gespeichert (abhängig von Ihrer Site). Die Stash-Datei oder alle Datenbankeinträge werden nicht aktualisiert, wenn der Hauptschlüssel mit kadmin geändert wird.
Um den Hauptschlüssel zu ändern, bot Kerberos 4 einen Befehl an und führte die erforderlichen Aktionen aus. Für Kerberos 5 hat (noch) niemand diese Funktion implementiert.
Brauchen Sie Hilfe? Wir sind hier!
