Wie Single Sign-On-Authentifizierung in Lion Server
Mac OS X Kerberos Single Sign-On-Authentifizierung ist eine sichere und schmerzlose Weise zu Lasten der einzigartigen, weitreichend Lion Dienste zu verbinden, wenn es als Open Directory-Master-Set.
Wenn ein Benutzer zu viele einzigartige Dienste verbinden muss, konnte er einen Benutzernamen und ein Passwort für jeden Dienst zu senden, um einen Weg für eine evildoer Öffnen Sie Ihr Passwort abzufangen und zu knacken. Die sicherere Alternative ist die Verwendung von Kerberos Einmalige Anmeldung Authentifizierung, in dem der Benutzer ein Passwort einmal betritt und erhält Zugriff auf alle Dienste.
Mit Kerberos aktiviert ist, wird das Passwort nie über das Netzwerk übertragen. Stattdessen verschlüsselt ein Ticketing-System Probleme Token genannt Tickets und authentifiziert Sie einmal (in der Regel aus dem Mac OS X-Anmeldefenster) und nachfolgende Tickets ermöglichen den Zugriff auf andere Shared Services.
Denken Sie an Kerberos den Tag als Ausgaben ein beliebter Vergnügungspark zu besuchen. Das erste, was Sie tun, wenn Sie im Park ankommen, einen Pass kaufen. Dieser Pass ist Ihr Kerberos-Ticket TGT (TGT), vom Kerberos Key Distribution Center ausgegeben (KDC), wenn Sie in Mac OS X auf einem gemeinsam genutzten Verzeichnis anmelden.
Auf dem Park, zahlen Sie die Eintrittsgebühr und Zugriff auf das Gelände den ganzen Tag. Die Benutzer melden sich einmal in und Zugriff auf den gesamten Park zu bekommen. Allerdings ist der Pass nicht automatisch bedeuten, dass Sie auf jeder Fahrt springen kann oder dass Sie Hot Dogs und Popcorn zu bekommen. Sie müssen noch für jede Fahrt in die Warteschlange und für Ihre Snacks zahlen.
In Kerberos wird Ihr TGT präsentiert, wenn ein Dienst, wie File-Sharing oder E-Mail erreichbar. Das KDC erzeugt einen neuen Service-Ticket, die Ihr Client an den Dienst anmeldet. Aber der Benutzer nicht mit einem Login-Bildschirm nach dem ersten Login dargestellt.
Wenn der Park schließt, ist ein Ticket für den nächsten Tag nicht gut. In Kerberos, wenn Sie sich abmelden, werden die TGT und Service-Tickets zerstört. Sollte jemand es geschafft haben, um herauszufinden, wie man das Ticket-System einzubrechen, sind TGTs gut für einen bestimmten Zeitraum nur: 10 Stunden nach dem Login auf Mac OS X Server. Und die Kerberos-Tickets werden im RAM gespeichert sind, nicht die Festplatte.
Mac OS X Server ist einfach wie ein KDC einrichten, wenn Sie es einrichten als Open Directory-Master, ein KDC wird automatisch eingerichtet. Open Directory kann auch die Verwendung eines anderen KDC machen auf einem anderen Server ausgeführt wird, wie zum Beispiel einer Active Directory-Domänencontroller. Unter Mac OS X können Sie anzeigen, erstellen und TGTs zerstören, indem sie die Ticket-Viewer-Anwendung gefunden / System / Library / Coreservices.
Ansicht TGTs und Service-Tickets für den aktuellen Benutzer durch Eingabe klist im Terminal und drücken Sie die Eingabetaste. Hier ist ein Beispiel dafür, was man zu sehen bekommt:
Auftraggeber: lianabare $ klistDefault Haupt ~: [email protected] Start Verfällt Dienst Principal06 / 30/11 14:24:40 06/30/11 00:24:40 krbtgt/[email protected]. COMrenew bis 06/30/11 14: 24: 3406/30/11 14:24:41 06/30/11 00:24:40 afpserver/[email protected] bis 06/30/11 14: 24: 3406/30/11 14:24:59 06/30/11 00:24:40 http/[email protected] bis 06/30/11 14: 24: 3406/30 / 11 14.26.27 06/30/11 00.24.40 xmpp/[email protected] bis 06/30/11 14.24.34