我们有能力生产的集中使用管理和用户可以被分配的角色认证系统的要求,已经设置密码/撤销等开发一个集成的用户Manangement,认证
该系统将必须在Windows交谈到其他Windows机器。但是,如果可以扩展到运行vxworks的嵌入式工业控制器,这将非常有用。
虽然我隐约知道Radius,Kerberos,LDAP和活动目录,但我很难理解这些不同的技术如何配合在一起。
了解Vxworks支持Radius,并且支持Kerberos的一些功能,最好的解决方案支持这种类型的功能。
也可以任何人推荐解释如何各种技术配合在一起,以支持用户管理。
Kerberos是一种认证和密钥分发协议。它允许对等方(如客户端和服务器(称为“安全主体”))彼此证明自己的身份,并确保他们之间的后续通信。它要求身份验证服务器称为“密钥分发中心”或KDC,以便在网络上进行身份验证,但不是每个成员都需要每次操作都需要访问KDC(例如服务器不需要联系KDC,但客户端),并且凭据通常被缓存,因此需要更少的网络往返次数。缓存机制以比缓存密码更安全的方式提供单点登录,因为缓存的凭证会在一段时间后过期并且无法用于更改密码。它还在Kerberos安全域之间建立了一个内联的概念,称为“领域”。Kerberos的一个重大实际好处是,它是最广泛实施和可用的同类系统:它可用于各种通过SASL和GSSAPI等抽象方案实现协议,这些协议在包括Unix和Windows在内的许多平台上得到广泛应用。用于各种协议和应用程序(包括IMAP,POP,SMTP,SSH,LDAP,Subversion,NFS,HTTP等)的流行客户端和服务器都支持Kerberos,并且可以通过单一基础架构(在不同程度上)进行安全保护。
RADIUS在单个协议中提供认证,授权和记帐(“AAA”)。它主要被网络设备(如路由器,交换机,VPN网关,WiFi接入点等)用于为管理访问和用户提供身份验证,然后还提供授权(允许用户执行的操作)和记帐(记录行动)。身份验证通过各种通过RADIUS传输的独立机制发生,如EAP,PEAP和MS-CHAP。
LDAP是目录访问协议:关于通过X.500命名节点的LDAP服务器存储信息的“专有名称,”和你一样在X.509公钥证书,例如见“CN = Richard E. Silverman,ST = NY,O =我的公司”。节点具有属性,并且LDAP客户机以各种方式向服务器查询给定节点的属性,包括搜索节点名称空间的整个子树,模式匹配以及指示应返回哪些属性的过滤器。
关于LDAP是一种“认证协议”,通常存在一些混淆,这不是它的主要目的。这是因为许多需要验证用户名/密码对的系统提供“LDAP身份验证”作为一种方式。这意味着,该系统将与LDAP服务器,使用提供的用户名和密码进行身份验证,然后只需断开连接而不发出LDAP目录查询。因此,它使用LDAP的安全性作为密码验证服务。这是因为,如果它使用SSH登录到指定的主机,然后就立即注销,使用登录的成功或失败来验证用户的密码相同。
“活动目录”是Microsoft的营销,产品和技术术语。它并不是指像上述条款那样的单一协议;相反,它命名了一个由“域控制器”实现的由多个协议(包括Kerberos,LDAP和DNS)组成的总体系统,该域控制器为一系列Windows主机提供全面的安全,命名和管理服务。
RADIUS,的Kerberos和LDAP都可以在理论上提供集中的用户认证和(有限的)授权(Active Directory是LDAP的实现)。
简单地说:
简而言之:使用LDAP进行集中式用户和组管理和验证(您可以使用Active Directory进行此操作)。接下来,使用Kerberos进行SSO。这两个主题都有很多文档。