の検索結果 :
×
Kerberos プロトコルを使用したイントラネット サイトへのシングル サインオン。これにより、Windows、Ubuntu、CentOS、RHEL などのすべての主要なオペレーティング システムに安全な認証メカニズムが提供されます。
Kerberos により、ドメイン ネットワーク内での自動ログインのためのパスワードなしの認証が可能になります。 Kerberos プロトコルは、パスワードの必要性を排除し、ネットワーク環境内のセキュリティを強化することでログイン プロセスを合理化します。
外部ネットワークからのページへのアクセスを制限して、Web サイトまたはアプリケーションを保護します。ネットワーク内の許可されたユーザーのみがコンテンツにアクセスできるようにすることで、セキュリティを強化し、外部ソースからの不正な侵入を防ぎます。
Kerberos は、認証に共有キー暗号化を使用するチケットベースの認証プロトコルであり、サードパーティのキー配布センター (KDC) が関与します。チケット認可チケット (TGT) やサービス チケットを含む一連のチケットを使用して、ユーザーとサービスの身元を確認します。
Kerberos では、実際のパスワードは送信されず、暗号化されたチケットとセッション キーが安全な認証に使用されます。
NTLM は、サーバーがクライアントにランダムなチャレンジを送信するチャレンジ/レスポンス メカニズムで動作します。クライアントは、ユーザーのパスワードを組み込んだチャレンジのハッシュ値で応答します。このハッシュ化された応答はサーバーに送り返され、サーバーによって検証されます。
NTLM では、ハッシュ化されたパスワード応答が、チャレンジ/レスポンス メカニズム中にクライアントとサーバーの間で送信されます。
どちらのプロトコルも安全なアクセスを確保することを目的としていますが、一般に Kerberos プロトコルの方がより安全であると考えられており、より強力な暗号化とさまざまな攻撃に対する耐性が向上しています。
Kerberos は強力な暗号化を使用してユーザーを認証し、システムやリソースへの安全なアクセスを保証します。
Kerberos プロトコルはクライアントとサーバーの両方の ID を検証し、通信の安全性を確保し、なりすまし攻撃を防ぎます。
Kerberos は広く採用されている SSO プロトコルであり、さまざまなオペレーティング システムやアプリケーションでサポートされています。
少し前に、Active Directory 統合 / LDA プラグインを購入し、ユーザー レジストリ システムの統合に他のプラグインも使用しました。いくつかの非互換性があり、ユーザー登録システムには完全な互換性がありませんでした。チームのメンバーが、非互換性をすべて解決するのを手伝ってくれました。彼は、プラグインが完全にサポートされるまで、私のためにプラグインをカスタマイズしてくれました。彼はこれまでこれほど効率的で献身的なサポート チームと協力したことがありませんでした。私は多くの有料プラグインを使用していますが、これほどうまく機能するサポートチームはありませんでした。このプラグインを100%お勧めします
- ゴンザレス12MiniOrange はこのプラグインで素晴らしい仕事をしてくれました。 LDAPS 認証でまさに私たちが探していたものを提供してくれました。サポートは、これを実装するのに非常に役立ちました。まあ満足です!
- ブライアンレアード
LDAP の実装は非常に簡単だったと思います。また、電子メール、名前、電話番号などの情報を LDAP から取得するためのオプションも多数あるため、これらすべての情報をテーブルに取得するのが簡単になります。サポートの人たちもとても親切で、miniorange は私の設定とはかなり異なっていたのですが、助けてくれました。このプラグインをお勧めします。
- エステエスパーソナル
いくつかのプラグインの問題を自分で解決しようと何度も試みた後、素晴らしいサポートが再び私を助けてくれました。あなたのあらゆるニーズに合わせてこのプラグインを本当に提案し、お勧めします。必要に応じて、サポートがあらゆる段階でサポートします。
- マルコトミック93
最近ではあまり見られない非常に優れたレベルのサポートに非常に感銘を受けています。このプラグインはプロフェッショナル レベルで、発表されたすべての機能などを提供します。
- ファビエナンレオ
長い間、私は共有ホスト型 WordPress サイト用のプラグインを探していて、n 個のプラグインを試しましたが、Miniorange のこのプラグインほど私の要件を満たしていませんでした。プラグインのグラフィックは素晴らしく、非常に使いやすいです。属性マッピングと LDAPS 要件がありましたが、このプラグインを使用するとうまく機能します。そしてサポートも完璧です。デモのリクエストを送信したところ、数時間以内に返答が届きました。ぜひお勧めします。
- マテオーウェン92
miniOrange LDAP プラグインを使用して、Active Directory とフライホイール共有ホスティングでホストされている Wordpress サイト間のシングル サインオンを容易にしました。彼らは、ドメインに参加しているシステムで SSO を実現するための素晴らしいソリューションを持っています。 miniOrange の担当者は非常に対応が早く、親切でした。私の問題を解決するためにタイムリーに対応してくれた miniorange のサポート チームを賞賛しなければなりません。
- ベネットフォディ
喜んでお手伝いさせていただきますので、お気軽にお問い合わせください
Kerberos セットアップに関する質問やサポートが必要ですか? ご対応させていただきます。
資格情報の入力を求めるプロンプトが表示されるのはなぜですか?
これは、認証に Kerberos ではなく NTLM プロトコルが使用されている場合に発生します。
これは、次のような複数の理由で発生する可能性があります。
既存の LDAP ユーザーを Kerberos サービス プリンシパルとして使用できますか?
はい、既存の LDAP ユーザーを Kerberos サービス プリンシパルとして使用できます。 ただし、このユーザーのパスワードは無期限に設定されている必要があります。 アプリケーションはこのアカウントを Kerberos サービス プリンシパルおよび対応するキータブとして使用して Kerberos チケットを取得するため、このアカウントがどのユーザーにも使用されていないことを確認してください。
「Kerberos クライアント」、「Kerberos サーバー」、「アプリケーション サーバー」とは何ですか?
Kerberos におけるすべての認証は、クライアントとサーバーの間で行われます。 したがって、Kerberos サービスのサービス チケットを受け取るエンティティは、Kerberos 用語では「Kerberos クライアント」と呼ばれます。 ユーザーは多くの場合クライアントとみなされますが、どのプリンシパルもクライアントになる可能性があります。
キー配布センター (略して KDC) は、通常「Kerberos サーバー」と呼ばれます。 認証サービス (AS) とチケット認可サービス (TGS) は両方とも KDC によって実装されます。 すべてのプリンシパルに接続されているすべてのパスワードは KDC に保存されます。 このため、KDC は可能な限り安全であることが不可欠です。
「アプリケーション サーバー」という語句は、多くの場合、クライアントが Kerberos チケットを使用した認証中に対話するために使用する Kerberos ソフトウェアを指します。 アプリケーション サーバーの例としては、Kerberos Telnet デーモンがあります。
レルムの名前はどのように付けられますか? 本当に大文字である必要があるのでしょうか?
理論上、レルム名は任意です。 レルムには好きな名前を付けることができます。
実際には、Kerberos レルムの名前は、名前が付けられるレルム内のホストに関連付けられた DNS ドメイン名を大文字にして付けられます。 たとえば、ホストがすべて 「example.com」 ドメインでは、Kerberos レルムを次のように呼ぶことができます。 「例.COM」.
DNS ドメインに XNUMX つの Kerberos レルムを持ちたい場合 「ミニオレンジ.com」 人事および営業の場合、次のように Kerberos レルムを作成できます。 「HR.MINIORANGE.COM」 および 「セールス.ミニオレンジ.コム」
レルム名に大文字を使用する規則は、DNS ドメイン名 (実際には大文字と小文字が区別されません) と Kerberos レルムを簡単に区別するためです。
Kerberos 標準の最近の改訂では、大文字のレルム名が優先され、小文字のレルム名は非推奨になることが指定されています。
各アプリケーションサーバーにはどのようなプログラム/ファイルを置く必要がありますか?
各アプリケーション サーバーに次のものを配置する必要があります。
最も重要な部分は暗号化キーです。 安全な方法でアプリケーション サーバー ホストに送信する必要があります。 通常、ホスト プリンシパル (host/example.com@REALM) はこのキーを使用します。 MIT 管理クライアント kadmin は、管理サーバーとの間のすべての転送を暗号化するため、ネットワーク上で管理者パスワードをクリア テキストで送信しない限り、kadmin 内から ktadd を安全に使用できることに注意してください。
アプリケーション サーバー上で対話型のユーザー ログインを行う場合は、各サーバーに Kerberos クライアント バイナリをインストールすることも必要になるでしょう。
GSSAPIとは何ですか?
GSSAPI は頭字語です。 これは、Generic Security Services Application Programming Interface の略です。
クライアント/サーバー認証は、汎用 API である GSSAPI を使用して処理されます。 その理由は、各セキュリティ システムには独自の API があり、セキュリティ API が大きく異なるため、アプリにさまざまなセキュリティ システムを追加するには多大な労力がかかるためです。 汎用 API はアプリケーション プロバイダーによって書き込むことができ、共通の API があれば幅広いセキュリティ システムと互換性があります。
クロスレルム認証とは何ですか?
すべての Kerberos プリンシパルは、同じ Kerberos レルム内の別のプリンシパルとの認証接続を確立できます。 ただし、Kerberos レルムを設定して、異なるレルムのプリンシパルが相互に認証できるようにすることもできます。 これはクロスレルム認証と呼ばれます。
これは、XNUMX つのレルム内の KDC に一意のレルム間秘密を共有させることによって実現されます。この秘密は、レルムの境界を越えるときにプリンシパルの ID を検証するために使用されます。
マスターキーを変更するにはどうすればよいですか?
Kerberos 5 では、マスター キーを変更できません。
kadmin を使用してマスター キーを変更するオプションがあります。 ただし、マスター キーはすべてのデータベース エントリの暗号化に使用され、多くの場合 (サイトによっては) stash ファイルにも保存されます。 kadmin を使用してマスターキーが変更された場合、stash ファイルまたはすべてのデータベースレコードは更新されません。
マスター キーを変更するために、Kerberos 4 がコマンドを提供し、必要なアクションを実行します。 Kerberos 5 では、この機能を (まだ) 実装している人はいません。
助けが必要? 私たちはここにいます!
