我们需要建立一个集中的使用管理和身份验证系统,用户可以在其中分配角色、设置/撤销密码等。
系统必须在 Windows 上与其他 Windows 机器通信。但是,如果它可以扩展到运行 vxworks 的嵌入式工业控制器,那将会很有用。
虽然我对 Radius、Kerberos、LDAP 和活动目录有模糊的了解,但我很难理解这些不同的技术是如何组合在一起的。
知道 Vxworks 支持 Radius 并且支持一些 kerberos 支持这种类型的功能的最佳解决方案。
任何人都可以推荐一个解释各种技术如何组合在一起以支持用户管理的解释。
Kerberos 是一种身份验证和密钥分发协议。它允许客户端和服务器等对等方(称为“安全主体”)相互证明其身份,并确保它们之间的后续通信安全。它需要称为“密钥分发中心”或 KDC 的身份验证服务器在网络上可用,以便进行身份验证,尽管并非每个成员都需要每次操作都访问 KDC(例如,服务器不需要联系一个 KDC,但客户端有),并且凭据通常被缓存,因此需要更少的网络往返。缓存机制以一种比缓存密码更安全的方式提供单点登录,因为缓存的凭据会在一段时间后过期并且不能用于更改密码。它还有一个内置的 Kerberos 安全域之间的联合概念,称为“领域”。Kerberos 的一大实际好处是它是同类系统中实现最普遍和可用的系统:它可以通过 SASL 和 GSSAPI 等抽象方案在各种协议中使用,并且这些在包括 Unix 在内的许多平台上广泛实现和窗户。适用于各种协议和应用程序(包括 IMAP、POP、SMTP、SSH、LDAP、Subversion、NFS、HTTP 等)的流行客户端和服务器支持 Kerberos,并且可以通过单一基础架构(在不同程度上)得到保护。它可以通过 SASL 和 GSSAPI 等抽象方案在各种协议中使用,并且这些在包括 Unix 和 Windows 在内的许多平台上广泛实现。适用于各种协议和应用程序(包括 IMAP、POP、SMTP、SSH、LDAP、Subversion、NFS、HTTP 等)的流行客户端和服务器支持 Kerberos,并且可以通过单一基础架构(在不同程度上)得到保护。它可以通过 SASL 和 GSSAPI 等抽象方案在各种协议中使用,并且这些在包括 Unix 和 Windows 在内的许多平台上广泛实现。适用于各种协议和应用程序(包括 IMAP、POP、SMTP、SSH、LDAP、Subversion、NFS、HTTP 等)的流行客户端和服务器支持 Kerberos,并且可以通过单一基础架构(在不同程度上)得到保护。
RADIUS 在单一协议中提供身份验证、授权和记帐 (“AAA”)。它主要用于路由器、交换机、VPN 网关、WiFi 接入点等网络设备,为管理访问和用户提供身份验证,然后还提供授权(允许用户做什么)和计费(动作记录)。身份验证通过各种通过 RADIUS 建立隧道的独立机制进行,例如 EAP、PEAP 和 MS-CHAP。
LDAP 是一种目录访问协议:LDAP 服务器存储有关通过 X.500 “可分辨名称”命名的节点的信息,与您在 X.509 公钥证书中看到的相同,例如“CN=Richard E. Silverman, ST=纽约,O=我的公司”。节点具有属性,LDAP 客户端以多种方式向服务器查询给定节点的属性,包括搜索节点名称空间的整个子树、模式匹配和指示应返回哪些属性的过滤器。
LDAP 是一种“身份验证协议”,这并不是它的主要目的,经常会让人感到困惑。这是因为许多需要验证用户名/密码对的系统都提供“LDAP 身份验证”作为一种方式。这意味着系统将联系 LDAP 服务器,使用提供的用户名和密码对其进行身份验证,然后直接断开连接而不发出 LDAP 目录查询。因此,它使用 LDAP 的安全性作为密码验证服务。这就像它使用 SSH 登录到给定主机,然后立即注销一样,使用登录成功或失败来验证用户的密码。
“Active Directory”是 Microsoft 营销、产品和技术术语。它不像上述术语那样指代单一协议;相反,它命名了一个包含多个协议(包括 Kerberos、LDAP 和 DNS)的总体系统,由“域控制器”实现,为 Windows 主机集合提供全面的安全、命名和管理服务。
RADIUS、Kerberos和LDAP理论上都可以提供集中的用户身份验证和(有限的)授权(Active Directory 是 LDAP 的一种实现)。
简而言之:
简而言之:使用 LDAP 进行集中的用户和组管理和身份验证(您可以为此使用 Active Directory)。接下来,使用 Kerberos 进行 SSO。有很多关于这两个主题的文档。