認証のためのKerberosとLDAP-安全な方
大規模な異機種混合環境での認証にKerberosまたはLDAPを使用することの相対的なメリットを説明または概説できますか?
そして
それらを透過的に切り替えることはできますか?
可能であれば、何よりもKerberos認証を使用してください。これは、認証/承認を提供するために構築されたもので、 最も安全なオプション です。全体の前提は、信頼されていない環境で資格情報を交換することです。
LDAPは、ネットワークを介して資格情報をクリアテキストで送信するように誤って構成されている可能性があります。これを防ぐ簡単な方法は、すべてのトラフィックをSSLでカプセル化するため、常にLDAPS(TCP636)を使用することです。 LDAPは、特にフォーム認証を使用するWebアプリケーションなど、アドホック認証/承認によく使用されます。
大規模な異機種混合環境での認証にKerberosまたはLDAPを使用することの相対的なメリットを説明または概説できますか?
LDAP認証は一元化された認証です。つまり、すべてのサービスでログインする必要がありますが、パスワードを変更するとどこでも変わります。
Kerberosはシングルサインオン(SSO)です。つまり、一度ログインするとトークンが取得され、他のサービスにログインする必要はありません。
トレードオフがあります。LDAPは便利ではありませんが、単純です。 Kerberosはより便利ですが、より複雑です。安全なものはシンプルで便利です。
正解はありません。 SSOが必要な場合は、Kerberosを使用してください。それ以外のLDAP。集中認証のためにYP/NIS(over IPSEC)を検討することもできます。
OpenBSDのセキュリティのタカがKerberosを落としたが、独自のLDAPサーバーを作るという事実はあなたに何かを告げるかもしれません...
それらを透過的に切り替えることはできますか?
いいえ、あなたがすることはできません。まあ、多分あなたはPAMでできる。しかし、ユーザーは気づくでしょう