Sökresultat :
×
Single-Sign-On till intranätet med Kerberos-protokoll som ger dig en säker autentiseringsmekanism för alla större operativsystem som Windows, Ubuntu, CentOS, RHEL, etc.
Kerberos möjliggör lösenordslös autentisering för automatisk inloggning inom domännätverket. Kerberos-protokollet effektiviserar inloggningsprocessen genom att eliminera behovet av lösenord och förbättra säkerheten i nätverksmiljön.
Skydda din webbplats eller applikation genom att begränsa åtkomsten till dess sidor från externa nätverk. Se till att endast auktoriserade användare inom nätverket kan nå innehållet, vilket förbättrar säkerheten och skyddar mot obehörigt inträde från externa källor.
Kerberos är ett biljettbaserat autentiseringsprotokoll som använder delad nyckelkryptering för autentisering och involverar ett tredjeparts Key Distribution Center (KDC). Den använder en serie biljetter, inklusive Ticket Granting Tickets (TGTs) och servicebiljetter, för att verifiera identiteten på användare och tjänster
I Kerberos skickas inga egentliga lösenord istället, krypterade biljetter och sessionsnycklar används för säker autentisering.
NTLM arbetar på en utmaning/svarsmekanism som innebär att servern skickar en slumpmässig utmaning till klienten. Klienten svarar med ett hashat värde på utmaningen, inklusive användarens lösenord. Detta hashade svar skickas tillbaka till servern, som validerar det.
I NTLM överförs hashade lösenordssvar mellan klienten och servern under utmaning-svar-mekanismen.
Medan båda protokollen syftar till att säkerställa säker åtkomst anses Kerberos-protokollet generellt sett vara säkrare, vilket ger starkare kryptering och förbättrat motstånd mot olika attacker.
Kerberos använder stark kryptografi för att autentisera användare, vilket säkerställer säker åtkomst till system och resurser.
Kerberos-protokollet verifierar identiteten för både klienten och servern, säkerställer att kommunikationen är säker och förhindrar identitetsattacker.
Kerberos är ett allmänt antaget SSO-protokoll som stöds av olika operativsystem och applikationer.
För en tid sedan köpte jag Active Directory Integration / LDA-plugin och använde även andra plugins för integrationen av mitt användarregistersystem. Det fanns viss inkompatibilitet och mitt användarregistreringssystem var inte helt kompatibelt. En medlem i teamet hjälpte mig att lösa var och en av inkompatibiliteterna. Han arbetade för mig med att anpassa plugin-programmet tills det stöddes fullt ut. Han har aldrig arbetat med ett så effektivt och dedikerat supportteam. Jag arbetar med många betalda plugins och inget supportteam gjorde så bra. Jag rekommenderar detta plugin 100%
- agonzalez12MiniOrange gjorde ett bra jobb med denna plug-in. Gav oss exakt vad vi letade efter med LDAPS-autentisering. Supporten var utmärkt för att hjälpa oss att få detta implementerat. Väl nöjd!
- brianlaird
Jag tror att det var ganska enkelt att implementera LDAP, och det har också många alternativ för att hämta information från LDAP som e-post, namn, telefon... så det är lättare att få all denna information i dina tabeller. Personerna från supporten är också väldigt trevliga, miniorange hjälpte mig med min konfiguration som var ganska annorlunda. Jag rekommenderar detta plugin.
- estespersonlig
Efter flera försök att lösa några plugin-problem på egen hand kom den fantastiska supporten för att hjälpa mig igen. Jag kan verkligen föreslå och rekommendera detta plugin för alla dina behov. Supporten kommer att finnas där varje steg på vägen om det behövs.
- markotomic93
Jag är ganska imponerad av den mycket goda nivån på stödet inte så ofta nuförtiden. Insticksprogrammet är på professionell nivå och tillhandahåller all den aviserade funktionaliteten och mer!
- Fabienandreo
Jag har länge letat efter plugins för mina delade WordPress-webbplatser och provat n antal plugins, men ingen av dem uppfyllde mina krav då denna plugin från Miniorange, pluginens grafik är fantastisk och väldigt lätt att använda. Jag hade en attributmappning och LDAPS-krav och med detta plugin fungerar det utmärkt. Och stödet är oklanderligt. Jag skickade in en begäran om en demo och fick ett svar inom några timmar. Jag skulle definitivt rekommendera det.
- mateoowen92
Jag använde miniOrange LDAP-plugin för att underlätta enkel inloggning mellan Active Directory och vår wordpress-webbplats på svänghjulsdelad hosting. De har en fantastisk lösning för att uppnå SSO på domänanslutna system. Killarna på miniOrange var mycket lyhörda och hjälpsamma, jag måste berömma supportteamet i miniorange för deras snabba svar för att lösa mina problem.
- bennettfoddy
Vi hjälper gärna till, kontakta oss gärna
Har du frågor eller behöver hjälp med Kerberos-installationen? Vi har dig täckt.
Varför får jag en uppmaning att ange mina referenser?
Detta händer när NTLM-protokollet används för autentisering istället för Kerberos.
Detta kan uppstå på grund av flera orsaker:
Kan jag använda en befintlig LDAP-användare som Kerberos Service-principal?
Ja, du kan använda en befintlig LDAP-användare som Kerberos-tjänstehuvud. Den här användaren måste dock ha ett lösenord som aldrig upphör att gälla. Se till att det här kontot inte används av någon användare eftersom applikationen använder detta konto som Kerberos-tjänstens principal och motsvarande tangenttab för att få en kerberos-biljett.
Vad är en "Kerberos-klient", "Kerberos-server" och "applikationsserver"?
All autentisering i Kerberos sker mellan klienter och servrar. Därför kallas varje enhet som tar emot en tjänstebiljett för en Kerberos-tjänst som en "Kerberos-klient" i Kerberos terminologi. Användare anses ofta vara kunder, men vilken som helst kan vara en.
Nyckeldistributionscentret, eller KDC för kort, kallas vanligtvis en "Kerberos-server". Både Authentication Service (AS) och Ticket Granting Service (TGS) implementeras av KDC. Varje lösenord som är kopplat till varje huvudman lagras i KDC. På grund av detta är det viktigt att KDC är så säkert som möjligt.
Frasen "applikationsserver" syftar ofta på Kerberiserad programvara som klienter använder för att interagera medan de autentiseras med Kerberos-biljetter. Ett exempel på en applikationsserver är Kerberos telnet-demon.
Hur heter riken? Måste de verkligen vara stora bokstäver?
I teorin är rikesnamnet godtyckligt. Du kan namnge dina riken vad du vill.
I praktiken namnges en Kerberos-sfär genom att DNS-domännamnet associeras med värdarna i den sfär som kommer att namnges med stora bokstäver. Till exempel om dina värdar är alla i "exempel.com" domän kan du kalla din Kerberos-sfär som "EXAMPLE.COM".
Om du vill ha två Kerberos-sfärer i DNS-domänen "miniorange.com" för Human Resource and Sales kan du skapa Kerberos-världen som "HR.MINIORANGE.COM" och "SALES.MINIORANGE.COM"
Konventionen att använda versaler för rikes namn är att enkelt skilja mellan DNS-domännamn (som faktiskt är skiftlägesokänsliga) och kerberos sfärer.
De senaste revideringarna av Kerberos-standarden har specificerat att rikesnamn med stora bokstäver är att föredra och att rikesnamn med små bokstäver har fasats ut.
Vilka program/filer måste finnas på varje applikationsserver?
På varje applikationsserver måste du lägga:
Den del som är viktigast är krypteringsnyckeln; den måste skickas till applikationsservervärden på ett säkert sätt. Vanligtvis använder värdhuvudmannen (host/example.com@REALM) denna nyckel. Det bör noteras att MIT admin-klienten kadmin krypterar varje överföring mellan den och admin-servern, vilket gör det säkert att använda ktadd inifrån kadmin så länge du inte sänder ditt administratörslösenord över nätverket i klartext.
Om du tänker ha interaktiva användarinloggningar på dina applikationsservrar, vill du förmodligen också installera Kerberos-klientens binärfiler på var och en.
Vad är GSSAPI?
GSSAPI är en akronym; det står för Generic Security Services Application Programming Interface.
Klient-server-autentisering hanteras med hjälp av GSSAPI, ett generellt API. Anledningen till det är att varje säkerhetssystem har sitt eget API, och eftersom säkerhets-API:er skiljer sig så mycket, krävs det mycket arbete för att lägga till olika säkerhetssystem i appar. Det generiska API:t skulle kunna skrivas till av applikationsleverantörer, och det skulle vara kompatibelt med ett brett utbud av säkerhetssystem om det fanns ett gemensamt API.
Vad är autentisering över hela världen?
Vilken Kerberos-huvudman som helst kan upprätta en autentiseringsanslutning med en annan huvudman inom samma Kerberos-sfär. Men en Kerberos-sfär kan också ställas in för att tillåta rektorer från olika sfärer att autentisera med varandra. Detta kallas autentisering över hela världen.
Detta åstadkoms genom att låta KDC:erna i de två världarna dela en unik hemlighet över riket, som används för att validera identifieringen av huvudmän när de korsar rikets gräns.
Hur ändrar jag huvudnyckeln?
I Kerberos 5 kan du inte ändra huvudnyckeln.
Du har möjlighet att ändra huvudnyckeln med hjälp av kadmin. Huvudnyckeln används dock för att kryptera varje databaspost och förvaras troligen också i en stash-fil (beroende på din webbplats). Stashfilen eller alla databasposter kommer inte att uppdateras om huvudnyckeln ändras med kadmin.
För att ändra huvudnyckeln erbjöd Kerberos 4 ett kommando och det utförde de nödvändiga åtgärderna. För Kerberos 5 har ingen (ännu) implementerat denna funktion.
Behövs hjälp? Vi är här!
