검색 결과 :
×
Windows, Ubuntu, CentOS, RHEL 등과 같은 모든 주요 운영 체제에 대한 보안 인증 메커니즘을 제공하는 Kerberos 프로토콜을 사용하여 인트라넷 사이트에 대한 Single-Sign-On
Kerberos는 도메인 네트워크 내에서 자동 로그인을 위한 비밀번호 없는 인증을 활성화합니다. Kerberos 프로토콜은 암호의 필요성을 없애고 네트워크 환경 내 보안을 강화하여 로그인 프로세스를 간소화합니다.
외부 네트워크에서 해당 페이지에 대한 액세스를 제한하여 웹사이트나 애플리케이션을 보호하세요. 네트워크 내에서 승인된 사용자만 콘텐츠에 접근할 수 있도록 하여 보안을 강화하고 외부 소스로부터의 무단 침입을 방지합니다.
Kerberos는 인증을 위해 공유 키 암호화를 사용하고 타사 KDC(키 배포 센터)를 포함하는 티켓 기반 인증 프로토콜입니다. TGT(티켓 부여 티켓) 및 서비스 티켓을 포함한 일련의 티켓을 사용하여 사용자 및 서비스의 신원을 확인합니다.
Kerberos에서는 실제 비밀번호가 전송되지 않으며 보안 인증을 위해 암호화된 티켓과 세션 키가 사용됩니다.
NTLM은 서버가 클라이언트에 임의의 질문을 보내는 것과 관련된 질문/응답 메커니즘에서 작동합니다. 클라이언트는 사용자의 비밀번호를 포함하여 해시된 챌린지 값으로 응답합니다. 이 해시된 응답은 서버로 다시 전송되어 유효성을 검사합니다.
NTLM에서는 시도-응답 메커니즘 중에 해시된 암호 응답이 클라이언트와 서버 간에 전송됩니다.
두 프로토콜 모두 보안 액세스를 보장하는 것을 목표로 하고 있지만 일반적으로 Kerberos 프로토콜은 더 강력한 암호화를 제공하고 다양한 공격에 대한 향상된 저항력을 제공하여 더 안전한 것으로 간주됩니다.
Kerberos는 강력한 암호화를 사용하여 사용자를 인증함으로써 시스템과 리소스에 대한 안전한 액세스를 보장합니다.
Kerberos 프로토콜은 클라이언트와 서버 모두의 신원을 확인하여 통신 보안을 보장하고 가장 공격을 방지합니다.
Kerberos는 다양한 운영 체제 및 응용 프로그램에서 지원되는 널리 채택된 SSO 프로토콜입니다.
얼마 전에 Active Directory 통합/LDA 플러그인을 구입했고 사용자 레지스트리 시스템 통합을 위해 다른 플러그인도 사용했습니다. 일부 비호환성이 있었고 사용자 등록 시스템이 완전히 호환되지 않았습니다. 팀원이 비호환성 문제를 하나하나 해결하는 데 도움을 주었습니다. 그는 완전히 지원될 때까지 플러그인을 사용자 정의하는 데 도움을 주었습니다. 그는 이렇게 효율적이고 헌신적인 지원팀과 일한 적이 없습니다. 나는 많은 유료 플러그인으로 작업하고 있지만 어떤 지원팀도 그렇게 잘 해내지 못했습니다. 나는 이 플러그인을 100% 추천합니다
-agonzalez12MiniOrange는 이 플러그인으로 훌륭한 작업을 수행했습니다. LDAPS 인증을 통해 우리가 찾고 있던 것을 정확하게 알려주었습니다. 이를 구현하는 데 지원이 훌륭했습니다. 매우 만족스럽습니다!
- 브라이언레어드
제 생각에 LDAP를 구현하는 것은 꽤 쉬웠고 이메일, 이름, 전화번호 등 LDAP에서 정보를 검색할 수 있는 옵션도 많이 있어서 이 모든 정보를 테이블에서 가져오는 것이 더 쉽습니다. 지원팀의 사람들도 매우 친절했고, miniorange는 상당히 다른 구성으로 저를 도와주었습니다. 이 플러그인을 추천해 드리겠습니다.
- estoespersonal
일부 플러그인 문제를 스스로 해결하려고 여러 번 시도한 후에 훌륭한 지원팀이 다시 한 번 도움을 주었습니다. 저는 귀하의 모든 요구에 맞게 이 플러그인을 제안하고 추천할 수 있습니다. 필요한 경우 모든 단계에서 지원이 제공됩니다.
- 마르코토믹93
요즘에는 그다지 자주 지원되지 않는 매우 좋은 수준의 지원에 깊은 인상을 받았습니다. 플러그인은 전문가 수준이며 발표된 모든 기능 등을 제공합니다!
- 파비에난드레오
오랫동안 나는 공유 호스팅 WordPress 사이트에 대한 플러그인을 찾고 n개의 플러그인을 시도했지만 Miniorange의 이 플러그인 때문에 그 중 어느 것도 내 요구 사항을 충족하지 못했습니다. 플러그인의 그래픽은 환상적이고 사용하기 매우 쉽습니다. 속성 매핑과 LDAPS 요구 사항이 있었는데 이 플러그인을 사용하면 훌륭하게 작동합니다. 그리고 지원은 완벽합니다. 데모 요청을 제출했고 몇 시간 내에 응답을 받았습니다. 나는 그것을 추천하고 싶습니다.
-mateoowen92
저는 miniOrange LDAP 플러그인을 사용하여 Active Directory와 플라이휠 공유 호스팅에서 호스팅되는 WordPress 사이트 간의 단일 로그인을 용이하게 했습니다. 그들은 도메인에 가입된 시스템에서 SSO를 달성하기 위한 멋진 솔루션을 보유하고 있습니다. miniOrange 직원들은 매우 반응이 빠르고 도움이 되었습니다. 제 문제를 해결하는 데 시기적절하게 응답한 miniorange 지원 팀을 칭찬하고 싶습니다.
- 베넷포디
기꺼이 도와드리겠습니다. 언제든지 문의해 주세요.
Kerberos 설정에 대해 질문이 있거나 지원이 필요하십니까? 우리가 도와드리겠습니다.
자격 증명을 입력하라는 메시지가 나타나는 이유는 무엇입니까?
이는 Kerberos 대신 인증에 NTLM 프로토콜을 사용할 때 발생합니다.
이는 여러 가지 이유로 인해 발생할 수 있습니다:
기존 LDAP 사용자를 Kerberos 서비스 주체로 사용할 수 있습니까?
예, 기존 LDAP 사용자를 Kerberos 서비스 주체로 사용할 수 있습니다. 그러나 이 사용자는 만료되지 않도록 설정된 비밀번호를 가지고 있어야 합니다. 애플리케이션은 이 계정을 Kerberos 서비스 주체로 사용하고 해당 키탭을 사용하여 Kerberos 티켓을 얻으므로 어떤 사용자도 이 계정을 사용하지 않는지 확인하시기 바랍니다.
"Kerberos 클라이언트", "Kerberos 서버", "응용 프로그램 서버"란 무엇입니까?
Kerberos의 모든 인증은 클라이언트와 서버 사이에서 발생합니다. 따라서 Kerberos 서비스에 대한 서비스 티켓을 받는 모든 엔터티를 Kerberos 용어로 "Kerberos 클라이언트"라고 합니다. 사용자는 종종 클라이언트로 간주되지만 모든 주체가 클라이언트일 수 있습니다.
키 배포 센터, 줄여서 KDC를 일반적으로 "Kerberos 서버"라고 합니다. 인증 서비스(AS)와 티켓 부여 서비스(TGS)는 모두 KDC에 의해 구현됩니다. 모든 주체에 연결된 모든 비밀번호는 KDC에 저장됩니다. 이 때문에 KDC는 가능한 한 안전해야 합니다.
"응용 프로그램 서버"라는 문구는 클라이언트가 Kerberos 티켓을 사용하여 인증하는 동안 상호 작용하는 데 사용하는 Kerberos화된 소프트웨어를 의미하는 경우가 많습니다. 응용 프로그램 서버의 예로는 Kerberos telnet 데몬이 있습니다.
영역 이름은 어떻게 지정되나요? 정말 대문자여야 하나요?
이론적으로 영역 이름은 임의적입니다. 원하는 대로 영역 이름을 지정할 수 있습니다.
실제로 Kerberos 영역의 이름은 명명될 영역의 호스트와 연결된 DNS 도메인 이름을 대문자로 지정하여 지정됩니다. 예를 들어 호스트가 모두 "예시.com" 도메인의 경우 Kerberos 영역을 다음과 같이 부를 수 있습니다. "EXAMPLE.COM".
DNS 도메인에 두 개의 Kerberos 영역을 갖고 싶은 경우 "miniorange.com" 인사 및 영업의 경우 다음과 같이 Kerberos 영역을 생성할 수 있습니다. "HR.MINIORANGE.COM" 및 "판매.MINIORANGE.COM"
영역 이름에 대문자를 사용하는 규칙은 DNS 도메인 이름(실제로 대소문자를 구분하지 않음)과 Kerberos 영역을 쉽게 구별하기 위한 것입니다.
Kerberos 표준의 최근 개정판에서는 대문자 영역 이름을 선호하고 소문자 영역 이름은 더 이상 사용되지 않도록 지정했습니다.
각 애플리케이션 서버에 어떤 프로그램/파일이 있어야 합니까?
각 애플리케이션 서버에 다음을 입력해야 합니다.
가장 중요한 부분은 암호화 키입니다. 안전한 방식으로 애플리케이션 서버 호스트로 전송되어야 합니다. 일반적으로 호스트 주체(host/example.com@REALM)가 이 키를 사용합니다. MIT 관리 클라이언트 kadmin은 자신과 관리 서버 사이의 모든 전송을 암호화하므로 관리 비밀번호를 네트워크를 통해 일반 텍스트로 전송하지 않는 한 kadmin 내에서 ktadd를 안전하게 사용할 수 있습니다.
응용 프로그램 서버에서 대화형 사용자 로그인을 사용하려는 경우 각 서버에 Kerberos 클라이언트 바이너리를 설치하는 것이 좋습니다.
GSSAPI란 무엇입니까?
GSSAPI는 약어입니다. 이는 일반 보안 서비스 애플리케이션 프로그래밍 인터페이스를 나타냅니다.
클라이언트-서버 인증은 범용 API인 GSSAPI를 사용하여 처리됩니다. 그 이유는 각 보안 시스템마다 고유한 API가 있고, 보안 API가 너무 다르기 때문에 앱에 다양한 보안 시스템을 추가하려면 많은 작업이 필요하기 때문입니다. 일반 API는 애플리케이션 공급자가 작성할 수 있으며, 공통 API가 있다면 광범위한 보안 시스템과 호환됩니다.
영역 간 인증이란 무엇입니까?
모든 Kerberos 주체는 동일한 Kerberos 영역 내의 다른 주체와의 인증 연결을 설정할 수 있습니다. 그러나 서로 다른 영역의 주체가 서로 인증할 수 있도록 Kerberos 영역을 설정할 수도 있습니다. 이를 교차 영역 인증이라고 합니다.
이는 두 영역의 KDC가 영역 경계를 넘을 때 주체의 식별을 확인하는 데 사용되는 고유한 영역 간 비밀을 공유함으로써 수행됩니다.
마스터 키를 어떻게 변경하나요?
Kerberos 5에서는 마스터 키를 변경할 수 없습니다.
kadmin을 사용하여 마스터 키를 수정할 수 있는 옵션이 있습니다. 그러나 마스터 키는 모든 데이터베이스 항목을 암호화하는 데 사용되며 사이트에 따라 숨김 파일에도 보관될 가능성이 높습니다. kadmin을 사용하여 마스터 키를 변경하면 숨김 파일이나 모든 데이터베이스 레코드가 업데이트되지 않습니다.
마스터 키를 변경하기 위해 Kerberos 4는 명령을 제공하고 필요한 작업을 수행했습니다. Kerberos 5의 경우 아직 아무도 이 기능을 구현하지 않았습니다.
도움이 필요하다? 우리는 바로 여기에 있습니다!
