我們有能力生產的集中使用管理和用戶可以被分配的角色認證系統的要求,已經設置密碼/撤銷等開發一個集成的用戶Manangement,認證
該系統將必須在Windows交談到其他Windows機器。但是,如果可以擴展到運行vxworks的嵌入式工業控制器,這將非常有用。
雖然我隱約知道Radius,Kerberos,LDAP和活動目錄,但我很難理解這些不同的技術如何配合在一起。
瞭解Vxworks支持Radius,並且支持Kerberos的一些功能,最好的解決方案支持這種類型的功能。
也可以任何人推薦解釋如何各種技術配合在一起,以支持用戶管理。
Kerberos是一種認證和密鑰分發協議。它允許對等方(如客戶端和服務器(稱爲「安全主體」))彼此證明自己的身份,並確保他們之間的後續通信。它要求身份驗證服務器稱爲「密鑰分發中心」或KDC,以便在網絡上進行身份驗證,但不是每個成員都需要每次操作都需要訪問KDC(例如服務器不需要聯繫KDC,但客戶端),並且憑據通常被緩存,因此需要更少的網絡往返次數。緩存機制以比緩存密碼更安全的方式提供單點登錄,因爲緩存的憑證會在一段時間後過期並且無法用於更改密碼。它還在Kerberos安全域之間建立了一個內聯的概念,稱爲「領域」。Kerberos的一個重大實際好處是,它是最廣泛實施和可用的同類系統:它可用於各種通過SASL和GSSAPI等抽象方案實現協議,這些協議在包括Unix和Windows在內的許多平臺上得到廣泛應用。用於各種協議和應用程序(包括IMAP,POP,SMTP,SSH,LDAP,Subversion,NFS,HTTP等)的流行客戶端和服務器都支持Kerberos,並且可以通過單一基礎架構(在不同程度上)進行安全保護。
RADIUS在單個協議中提供認證,授權和記帳(「AAA」)。它主要被網絡設備(如路由器,交換機,VPN網關,WiFi接入點等)用於爲管理訪問和用戶提供身份驗證,然後還提供授權(允許用戶執行的操作)和記帳(記錄行動)。身份驗證通過各種通過RADIUS傳輸的獨立機制發生,如EAP,PEAP和MS-CHAP。
LDAP是目錄訪問協議:關於通過X.500命名節點的LDAP服務器存儲信息的「專有名稱,」和你一樣在X.509公鑰證書,例如見「CN = Richard E. Silverman,ST = NY,O =我的公司」。節點具有屬性,並且LDAP客戶機以各種方式向服務器查詢給定節點的屬性,包括搜索節點名稱空間的整個子樹,模式匹配以及指示應返回哪些屬性的過濾器。
關於LDAP是一種「認證協議」,通常存在一些混淆,這不是它的主要目的。這是因爲許多需要驗證用戶名/密碼對的系統提供「LDAP身份驗證」作爲一種方式。這意味着,該系統將與LDAP服務器,使用提供的用戶名和密碼進行身份驗證,然後只需斷開連接而不發出LDAP目錄查詢。因此,它使用LDAP的安全性作爲密碼驗證服務。這是因爲,如果它使用SSH登錄到指定的主機,然後就立即註銷,使用登錄的成功或失敗來驗證用戶的密碼相同。
「活動目錄」是Microsoft的營銷,產品和技術術語。它並不是指像上述條款那樣的單一協議;相反,它命名了一個由「域控制器」實現的由多個協議(包括Kerberos,LDAP和DNS)組成的總體系統,該域控制器爲一系列Windows主機提供全面的安全,命名和管理服務。
RADIUS,的Kerberos和LDAP都可以在理論上提供集中的用戶認證和(有限的)授權(Active Directory是LDAP的實現)。
簡單地說:
簡而言之:使用LDAP進行集中式用戶和組管理和驗證(您可以使用Active Directory進行此操作)。接下來,使用Kerberos進行SSO。這兩個主題都有很多文檔。