linux – 在LAN中对AD进行DMZ身份验证的最佳实践
|
我们在DMZ中几乎没有面向客户的服务器也有用户帐户,所有帐户都在影子密码文件中.
对于SSH,我将proxy2加入了Windows域,因此用户可以使用他们的Windows凭据登录.然后我创建了ssh密钥并使用ssh-copy将它们复制到DMZ服务器,以便在用户通过身份验证后启用无密码登录. 这是实施这种SSO的好方法吗?我在这里是否遗漏了任何安全问题,或者有更好的方法来实现我的目标? 解决方法如果您使用PAM作为身份验证堆栈,则可以使用 pam_krb5为您的服务提供 kerberos authentication. Kerberos是开箱即用的设计,用于处理恶意环境,处理代理验证,并且已经是AD规范的一部分.当你能让Kerberos为你做繁重的工作并继续生活时,为什么还要与LDAP斗争?是的,你必须做一些阅读,是的,这需要一点时间,但我已经使用了Curb-to-AD认证多年,并发现它是获得SSO最简单,最快捷的方式当您使用Active Directory作为身份验证后端时,开箱即用.您将遇到的主要问题是Microsoft决定对默认加密类型(它们基本上是自己的加密类型)非常具体,因此您需要设置Kerberos客户端以使用正确的匹配加密类型,或者AD服务器将继续拒绝它.幸运的是,这是一个简单的过程,不需要对krb5.conf进行多次编辑. 现在,有些链接供您考虑…… 微软的Kerberos视图 > Kerberos Explained Meshing Kerberos和Active Directory > Step-by-Step Guide to Kerberos 5 (krb5 1.0) Interoperability 通过PAM进行ssh和Kerberos身份验证 > A snippet from O’Reilly’s book on SSH Apache和Kerberos > mod_auth_kerb via SourceForge ProFTP和Kerberos > ProFTPD module mod_gss也通过SourceForge Microsoft使用Kerberos进行活动的RFC(您真的不想阅读): > RFC3244 Microsoft Windows 2000 Kerberos Change Password and Set Password Protocols (编辑:安卓应用网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
- linux – 180天后fsck或不fsck
- linux – 重启后CentOS 7 iptables不会持久化
- centos下安装网络封包分析软件wireshark
- LINUX学习:php通过smtp邮件验证登陆的方法
- c – 如何知道一个共享库是否依赖于另一个共享库?
- linux – ulimit -n not changing – values limits.conf无
- linux – /usr/bin/games中的倒置程序
- linux – 为什么“AcceptEnv *”被认为是不安全的?
- linux – 不活动后超时ssh会话?
- SAP Java:java.lang.NoClassDefFoundError:com.sap.conn.