Kerberos和LDAP？

Question

我想知道LDAP是否可以使用Kerberos作爲數據庫類型？我有一個使用LDAP的系統，我的SA說可以使用Kerberos作爲LDAP數據庫類型，我不需要進行任何編程更改，但系統更安全！

Answer 1

LDAP與數據庫沒有任何關係。 LDAP僅是一個協議。

協議被定義爲：「一個數字消息格式和用於在計算系統之間或在計算系統之間交換這些消息的規則的系統」。 http://en.wikipedia.org/wiki/Protocol_(computing)

「的輕量級目錄訪問協議（LDAP; /ɛldæp/）。爲通過互聯網協議訪問和維護分佈式目錄信息服務的應用程序協議（IP）網絡1 LDAP在ASN.1來定義和使用BER進行傳輸。「 http://en.wikipedia.org/wiki/Lightweight_Directory_Access_Protocol

Answer 2

您可以使用LDAP和Kerberos。最好的例子就是Active Directory。 AD是一個協作工具，包括LDAP，Kerberos，DNS & NTP。

您可以配置LDAP以保存LDAP用戶信息&使用Kerberos進行單點登錄的用戶授權。您可以使用389-ds作爲LDAP並將Kerberos與它集成。 您可以選擇相同的http://tech.groups.yahoo.com/group/linuxvadapav/message/4148這不包括kerberos部分，但您將能夠使LDAP工作。

對於協作套件，你可以去freeIPA http://freeipa.org/page/Main_Page

Answer 3

您可以安全地訪問使用Kerberos身份驗證現有的LDAP數據庫。大多數LDAP服務器實現都支持通過SASL API進行身份驗證。 SASL是用於認證的通用抽象，並支持不同的方法。其中一種方法是允許包裝Kerberos認證的GSSAPI。例如，這在Active Directory和FreeIPA中完成，它們都允許Kerberos身份驗證，並且還可以在LDAP中的用戶條目中存儲Kerberos憑據。

的OpenLDAP有一個專用於配置基於SASL的認證章：http://www.openldap.org/doc/admin24/sasl.html

389-DS，這是另一種流行的開源LDAP服務器，也有SASL認證支持。您可以詳細閱讀如何在此處安全訪問它：https://access.redhat.com/site/documentation/en-US/Red_Hat_Directory_Server/9.0/html/Administration_Guide/SecureConnections.html

上面的OpenLDAP和389-ds示例假定您的組織中已部署了Kerberos基礎架構。如果您需要部署一個，我建議您查看FreeIPA，它目前可用於Fedora和RHEL衍生產品。