Mavericks Sunucu Yöneticisi: Tek oturum açma onayı
OS X Server, tek oturum açma kimlik doğrulaması için Kerberos kullanıyor;
kullanıcıları her biri için ayrı bir ad ve şifre girmekten kurtarır
hizmet. Tek oturum açıldığında, kullanıcı her zaman bir ad ve parola girer
Giriş penceresinde. Bundan sonra, kullanıcının bir giriş yapmasına gerek yoktur.
AFP servisi, Posta servisi veya diğer servisler için isim ve şifre
Kerberos kimlik doğrulamasını kullananlar.
Tek oturum açmanın avantajlarından yararlanmak için, kullanıcıların ve hizmetlerin
Kerberized (Kerberros kimlik doğrulaması için yapılandırılmış) ve aynısını kullanma
Kerberos KDC sunucusu.
Bir Mac sunucusunun LDAP dizininde bulunan kullanıcı hesapları ve
Parola Açık Bir Dizin türü varsa, sunucunun yerleşik KDC'sini kullanın.
Bu kullanıcı hesapları Kerberos ve tek oturum açma için yapılandırılmıştır.
Sunucunun Kerberized hizmetleri, sunucunun yerleşik KDC'sini kullanır ve
tek oturum açma için yapılandırılmış.
Bu Mac sunucusu KDC, sağlanan hizmetler için kullanıcıları doğrulayabilir
diğer sunucular tarafından OS X Server ile daha fazla sunucuya sahip olmak Mac'i kullanmak
sunucu KDC sadece minimum konfigürasyon gerektirir.
Kerberos kimlik doğrulaması
Kerberos, MIT'de güvenli kimlik doğrulama sağlamak için geliştirilmiştir ve
İnternet gibi açık ağlar üzerinden iletişim. İçin adlandırılmış
Yunan yeraltı dünyasına girişi koruyan üç başlı köpek
mitoloji.
Kerberos, iki taraf için kimlik kanıtı sağlar. Size sağlar
kullanmak istediğiniz şebeke servislerine kimler olduğunuzu kanıtlayın. Ayrıca kanıtlıyor
Uygulamalarınıza, ağ servislerinin orijinal olduğunu, sahtekarlık etmediğini gösterir.
Diğer kimlik doğrulama sistemleri gibi, Kerberos da sağlamaz
yetki. Her şebeke servisi neye izin verildiğini belirler.
kanıtlanmış kimliğine dayanarak yapmak için.
Kerberos, bir müşterinin ve bir sunucunun birbirini tanımlamasına izin verir.
tipik meydan-cevap şifre onayından daha güvenli
yöntemleri. Kerberos ayrıca tek bir oturum açma ortamı sağlar.
kullanıcılar yalnızca günde bir kez, haftada veya başka bir zaman diliminde kimlik doğrulaması yapar,
böylece kimlik doğrulama sıklığını hafifletir.
OS X Server, hemen hemen herkesin istediği şekilde entegre Kerberos desteği sunar.
dağıtabilir. Aslında, Kerberos dağıtımı o kadar otomatiktir ki kullanıcılar
ve yöneticiler konuşlandırıldığını anlayamayabilir.
Mac sunucusu LDAP’daki kullanıcı hesapları için varsayılan ayardır
dizin. LDAP dizin sunucusu tarafından sağlanan diğer servisler
AFP ve Posta servisi olarak, Kerberos'u otomatik olarak da kullanın.
Ağınızda OS X Sunucusu olan başka sunucular varsa,
Kerberos sunucusu kolaydır ve servislerinin çoğu Kerberos'u kullanır.
otomatik olarak.
Alternatif olarak, ağınızda Microsoft gibi bir Kerberos sistemi varsa
Active Directory, Mac sunucunuzu ve Mac bilgisayarlarınızı
kimlik doğrulama için kullanın.
İnternet doğal olarak güvensiz, ancak birkaç kimlik doğrulama protokolü var
gerçek güvenlik sağlamak. Kötü niyetli bilgisayar korsanları kullanılabilir
bir ağ üzerinden gönderilen şifreleri durdurmak için yazılım araçları.
Birçok uygulama şifrelenmemiş şifreleri gönderir ve bunlar kullanıma hazırdır.
ele geçirildikleri anda kullanın. Şifreli şifreler bile değil
tamamen güvenli. Yeterli zaman ve hesaplama gücü verilmiş, şifreli
şifreler kırılabilir.
Özel ağınızdaki şifreleri izole etmek için güvenlik duvarı kullanabilirsiniz,
ama bu tüm sorunları çözmez. Örneğin, bir güvenlik duvarı
Hoşnutsuz veya kötü niyetli içeriğe karşı güvenlik sağlamak.
Kerberos ağ güvenliği sorunlarını çözmek için tasarlanmıştır. Asla
kullanıcının şifresini ağ üzerinden iletmez ve şifreyi kaydetmez.
şifresini kullanıcının bilgisayar hafızasındaki veya diskteki. Bu nedenle, olsa bile
saldırganın Kerberos kimlik bilgileri kırılır veya tehlikeye atılır.
orijinal şifreyi öğrenemediğinden, potansiyel olarak
ağın sadece küçük bir bölümünü tehlikeye atmak.
Üstün şifre yönetimine ek olarak, Kerberos da karşılıklı
doğrulanmış. Müşteri, servisi doğrular ve
Servis müşteriye doğrulanır. Ortadaki bir adam veya sahtekarlık
Kerberized servislerini kullanırken saldırı imkansız
kullanıcıların erişim sağladıkları hizmetlere güvenebilecekleri anlamına gelir.
Kerberos, OS X dahil her büyük platformda mevcuttur,
Windows, Linux ve diğer UNIX varyantları.
Şifrelerin ötesine geç
Ağ kimlik doğrulaması zor: bir ağı dağıtmak için
kimlik doğrulama yöntemi, müşteri ve sunucunun
kimlik doğrulama yöntemi İstemci / sunucu için mümkün olmasına rağmen
Özel bir kimlik doğrulama yöntemi üzerinde anlaşmaya varılması,
bir dizi ağ protokolü, platformu ve geneline yayılmış
müşteriler neredeyse imkansız.
Örneğin, akıllı kartları bir ağ olarak dağıtmak istediğinizi varsayalım.
kimlik doğrulama yöntemi Kerberos olmadan her şeyi değiştirmelisin
Yeni yöntemi desteklemek için istemci / sunucu protokolü. Listesi
protokoller arasında SMTP, POP, IMAP, AFP, SMB, HTTP, FTP, IPP, SSH,
QuickTime Streaming, DNS, LDAP, yerel dizin alanı, RPC, NFS, AFS,
WebDAV ve LPR ve devam ediyor.
Ağ kimlik doğrulaması yapan tüm yazılımları dikkate alarak,
paketinin tamamında yeni bir kimlik doğrulama yöntemi dağıtmak
ağ protokolleri göz korkutucu bir görev olurdu. Her ne kadar bu olabilir
bir satıcıdan gelen yazılımlar için uygunsa, hepsini alma olasılığınız yoktur
satıcılar yeni yönteminizi kullanmak için istemci yazılımlarını değiştirmeye çalışırlar.
Ayrıca, muhtemelen kimlik doğrulamanızın üzerinde çalışmasını da isteyebilirsiniz.
çoklu platformlar (OS X, Windows ve UNIX gibi).
Kerberos tasarımı nedeniyle, bir istemci / sunucu ikili protokolü
Destekler Kerberos, kullanıcının kimliği nasıl kanıtladığını bile bilmiyor.
Bu nedenle sadece Kerberos istemcisini ve Kerberos'u değiştirmeniz gerekir.
Sunucu, akıllı kart gibi yeni bir kimlik belgesini kabul etmek için kullanılır. Olarak
Sonuç olarak, tüm Kerberos ağınız şimdi yeni
İstemcinin yeni sürümlerini dağıtmadan kimlik kanıtlama yöntemi ve
sunucu yazılımı
Kerberos, ağ için merkezi bir kimlik doğrulama yetkisi sağlar.
Kerberos'un etkin olduğu tüm servisler ve müşteriler bu merkezi otoriteyi kullanır.
Yöneticiler, kimlik doğrulama politikalarını merkezi olarak denetleyebilir ve kontrol edebilir
ve işlemler.
Kerberos, Mac'in aşağıdaki hizmetleri için kullanıcıları doğrulayabilir
sunucu:
- Giriş penceresi
- Posta hizmeti
- AFP dosya servisi
- FTP dosya servisi
- SMB dosya servisi (bir Active Directory Kerberos bölgesinin üyesi olarak)
- VPN servisi
- Apache web hizmeti
- LDAP dizin servisi
- Mesaj servisi
- NFS dosya servisi
Bu hizmetler, çalışıyor olsun veya olmasın Kerberize edilmiştir.
Yalnızca Kerberized olan servisler Kerberos'u kimlik doğrulaması için kullanabilir.
kullanıcı. OS X Server diğer Kerberizing için komut satırı araçları içerir
MIT tabanlı Kerberos ile uyumlu servisler.
Tek oturum açma deneyimi
Kerberos bir kimlik bilgisi veya bilet tabanlı bir sistemdir. Kullanıcı bir kez oturum açar
Kerberos sistemine ve ömür boyu bir bilet verilir. Sırasında
Bu biletin kullanım ömrü, kullanıcının kimliğini doğrulaması gerekmez
Kerberized hizmetine erişmek için tekrar
Kullanıcının, Posta uygulaması gibi Kerberized istemci yazılımı,
için kullanıcının kimliğini doğrulamak için geçerli bir Kerberos bileti sunar.
Kerberize servis. Bu, tek bir oturum açma deneyimi sağlar.
Kerberos bileti, düzenlenen bir caz festivaline basın kartı gibi.
üç günlük bir hafta sonu boyunca birden fazla gece kulübü. Kimliğini kanıtlıyorsun
geçmek için bir kez. Geçiş süresi doluncaya kadar istediğin zaman gösterebilirsin.
Gece kulübü bir performans için bilet almak için. Tüm katılımcılar
gece kulüpleri kimlik belgenizi görmeden geçişinizi kabul eder
tekrar.
