我现在正在做一个项目,我有一个带有插件的CMS,允许我通过LDAP对用户进行身份验证。目前为止,一切都好。我构建了一个LDAP服务器。该插件有效。我正在验证。客户端一直在讨论使用 LDAP 进行授权和 Kerberos 进行身份验证(即使 LDAP 身份验证已经在工作(。据我所知,kerberos实际上是用于对尝试访问某些特定主机的用户进行身份验证。这是对的吗?还是我错过了什么?到目前为止,LDAP似乎已经足够了。我不知道为什么我需要另一层。我知道我可以使用 Kerberos 并使用 LDAP 作为原则数据库,但我不知道这实际上会让我得到 LDAP 还没有给我的东西。
Kerberos 允许您在某些情况下以本机方式进行单点登录。 例如,您使用公司用户名/密码登录了 Windows PC。 如果您在Windows上运行klist命令,它将显示只需登录PC即可获得域(Active Directory("主体"的kerberos票证。 当用户随后转到内部 Web 服务器(该服务器属于同一公司 Kerberos/AD 域(时,可以绕过重新身份验证(这就是它是单点登录的原因(。 然后,您可以根据LDAP组或其他一些方法进行授权。 Kerberos 在大公司中使用很有意义,因为他们很可能已经拥有 AD 及其周围的所有公司安全规则。SSO 也更方便。