ldapで認証と承認を行うことができるときに、なぜkerberosを使用しますか？

Question

私たちは大きなデータクラスタにケルベロスの使用について議論しています。私たちの管理者は、認証と承認のためにLDAPを使いたいと思っています。私はインターネットを見上げ、混在した応答を得ましたが、ケルベロスを使用する理由について明確な理解はありませんでした。

あなたはkerberosをldapと一緒に使うことができると私は理解していますが、kerbors + ldapとjust ldapを使う利点の明確な図が得られません。誰も説明していただけますか？

Answer 1

Kerberosは、社内ネットワーク業界標準のシングルサインオンプロトコルです。 LDAPは常にディレクトリルックアッププロトコルのほうが多かった。しかし、LDAP自体も認証が行われてから数年後に認証が行われるため、LDAPは認証を行うこともできます。 LDAP認証では、すべての認証試行がDirectory認証サーバーに負荷を与えます。その意味で、Directory認証サーバーを頻繁に攻撃する可能性があります。 kerberosでは、最初の認証後にクライアントがチケットを保持しています。チケットはデフォルトの10時間になるため、追加の認証試行でDirectory認証サーバーが再び過負荷になることはありません。そして、クライアントは、クライアントの代わりにこれを行うアプリケーションサーバーではなく、リソースをターゲットにする認証「チケット」を取得します。これは、LDAP認証メカニズムが有効な場合にアプリケーションサーバーが実行する必要がある処理です。また、LDAPが正しく構成されていないと、クリアテキストで認証の試行が送信されます。 SSL証明書を取得する必要があるLDAPSで暗号化された認証を行うように設定していても、アプリケーションサーバーにユーザー名とパスワードをプレーンテキストで保存するという問題を回避する必要があります誰かがそれを暗号化するために余分な手順を取る。要するに、認証プロトコルとして、Kerberosはすぐに使用することができます。集中管理されていないため、LDAP認証よりもDirectory認証サーバーへの負荷が小さくなります。純粋なMicrosoft Active Directory環境のKerberosは、認証と認可の両方を行いますが、ディレクトリ検索は常にLDAPです。また、LDAPはではなく、シングルサインオンです。ユーザはKerberosを使用している間は常に手動でユーザ名/パスワードを入力する必要があります。

LDAPが元々ディレクトリルックアッププロトコルとしてRFCごとに設計されていたため、Kerberosを認証とLDAPに使用してディレクトリ検索やグループベースの認証を行う場合はベストプラクティスです。実際には、 "Active Directoryユーザーとコンピュータ"ユーティリティなどのツールを使用すると、使用するときに何が起きるのかが正確に分かります。つまり、Kerberos認証を渡してAD LDAPサービスを照会できるようにしますその時点からのLDAPクエリは純粋なLDAPだけです。 WindowsとLinuxの両方で構成される混在環境では、認証にKerberosを使用することはできますが、アプリケーション側ではもう少し時間がかかります。例えば、AD管理者によって生成されたキータブが必要ですベースの承認はLDAPでなければならず、もちろんディレクトリの検索は、常に LDAPです。

あなたの管理者は、まっすぐなLDAPを使用することをお勧めします。なぜなら、これは簡単なルートであるからです。彼はあなたにADユーザーアカウントの資格情報を与え、アプリケーション側でユーザーがログインしてからグループベースの許可を許可し、次にLDAP経由でディレクトリを照会することができます。

この質問は本当にLDAP対ケルベロスの深い理解を必要とする、と言う約読むためにそんなに多くありますが、私は今のこの時にそれを残してリンクを提供する必要がありますKerberos vs. LDAP for authentication