Локальное использование ldap для обмена информацией для входа в веб-приложения. Нужен ли мне также Kerberos?

Итак, я настраиваю выделенный сервер, используя Debian 5 Lenny. Я буду использовать некоторые инструменты Atlassian (JIRA, Confluence, Bamboo и Fisheye). Я хочу использовать локальный сервер LDAP для хранения информации для пользователей, которые будут иметь доступ к этим названиям программного обеспечения, чтобы они могли использовать один набор учетных данных для входа в систему.

Я также хочу, чтобы пользователи веб-почты были настроены с использованием LDAP.

Однако это небольшая операция. Три человека. Вот почему все программное обеспечение, включая сервер ldap, будет находиться на одном компьютере.

Тем не менее, безопасно ли использовать LDAP для хранения учетных данных пользователя (включая пароли) в LDAP без использования Kerberos? Я не понимаю, когда следует использовать Kerberos.

Гипотетически, допустим, у меня было два сервера в подсети. Сервер A получил запросы из внешнего мира на атласские инструменты. Сервер a связывается с сервером ldap (внутренне) на сервере b. В таком случае, я бы использовал керберос?

Когда я использую Kerberos? Когда я не буду?

Я не устанавливаю ничего вроде «Active Directory». Нет и Самбы. Пользователям не нужно входить в домен (с доступом к файлам в домене), им просто нужно войти в веб-приложения. Но если бы я выполнял LDAP на его собственной выделенной машине, тогда мне мог бы понадобиться Kerberos?

: confuzzled: :(

-Сэм


authentication debian kerberos ldap openldap
person Sam Levin    schedule 20.07.2011    source источник

Ответы (2)


arrow_upward
0
arrow_downward

Самый простой ответ - да, можно хранить имена пользователей, идентификаторы пользователей и пароли без использования Kerberos, и на самом деле службы каталогов, доступные через LDAP, являются отличным инструментом для хранения такого рода информации аутентификации и авторизации.

Обновлять:

На мой взгляд, если вы выберете сервер с открытым исходным кодом, вы обнаружите, что OpenDS превосходит OpenLDAP или Apache.

person Terry Gardner    schedule 20.07.2011
comment
что насчет OpenDS превосходит OpenLDAP? есть горы информации об openldap. Значит, вы по существу выступаете за то, чтобы я мог использовать LDAP для всего локально без Kerberos? Как насчет того, чтобы у меня было внутреннее общение (скажем, 15 пользователей, веб-сайт работает в основном блоке, аутентификация обрабатывается отдельным меньшим блоком). Сейчас не все местное. Тогда следует ли мне использовать Kerberos для защиты трафика, отправляемого в подсети? - person Sam Levin; 23.07.2011

arrow_upward
0
arrow_downward

В принципе, если у вас есть Kerberos, вам не нужен сервер каталогов. Если вы не работаете в корпоративной среде и ищете хранилище для управления идентификацией, вам обязательно стоит выбрать сервер каталогов, такой как OpenLDAP или Apache Directory. Kerberos требует запуска правильно настроенного сервера DNS и NTP. Это могло быть слишком много. Даже если вы это сделаете, эти ленивые идиоты из Atlassian все равно не внедрили поддержку Kerberos в свои продукты. Вы даже не можете смириться с этим.

Я только что заметил, что вас всего трое, может быть, будет достаточно простой настройки базы данных с MySQL вместо запуска полноценного сервера каталогов?

person Michael-O    schedule 21.07.2011
comment
это такой же познавательный опыт, как и все остальное. хочу убедиться, что я учусь создавать безопасную сеть (внутреннюю и внешнюю) для гибкой разработки предприятия - person Sam Levin; 23.07.2011