Hvordan Enkelt Sign

Mac OS X Kerberos single sign-on-godkjenning er en sikker og smertefri måte å koble til massevis av unike, brede spenner Lion tjenester når det er satt opp som en Open Directory mester.

Hvis en brukernes behov for å koble til mange unike tjenester, kunne han sende et brukernavn og passord til hver tjeneste, åpne en bane for en ugjernings å fange opp og knekke passordet ditt. Jo mer sikkert alternativ er å bruke Kerberos single sign-on
autentisering, der brukeren skriver inn et passord en gang og får tilgang til alle tjenester.

Med Kerberos aktivert, passordet blir aldri overført over nettverket. I stedet, en billettering systemproblemer kryptert tokens kalt Billetter og autentiserer du en gang (vanligvis fra Mac OS X påloggingsvinduet), og påfølgende billetter gir tilgang til andre fellestjenester.
Tenk på Kerberos som tilbringer dag besøker en populær fornøyelsespark. Det første du gjør når du ankommer parken er å kjøpe et pass. Dette passet er din Kerberos gi billett (TGT), utstedt av Kerberos Key Distribution Center (KDC) når du logger på Mac OS X på en delt mappe.

I parken, du betaler inngangsavgiften og få tilgang til den begrunnelse hele dagen. Brukere logger inn en gang og få tilgang til hele parken. Imidlertid ikke pass ikke automatisk bety at du kan hoppe på en tur eller at du får pølser og popcorn. Du må fortsatt stå i kø for hver ri og betale for snacks.

I Kerberos, din TGT presenteres ved tilgang til en tjeneste, for eksempel fildeling eller e-post. KDC oppretter en ny tjeneste billett at klienten bruker til å autentisere til tjenesten. Men brukeren ikke blir presentert med et innloggingsbildet etter det første innlogging.

Når parken stenger, er ikke bra for den neste dagen pass. I Kerberos, når du logger ut, blir TGT og service billetter ødelagt. Skulle noen har klart å finne ut hvordan å bryte inn i billettsystemet, TGTs er bra for en bestemt periode bare: ti timer etter innlogging til Mac OS X Server. And the Kerberos er lagret i RAM, ikke harddisken

Mac OS X Server er enkel å sette opp som en KDC.; når du setter den opp som en Open Directory master, er en KDC satt opp automatisk. Open Directory kan også benytte seg av en annen KDC kjører på en annen server, for eksempel en Active Directory-domenekontroller. I Mac OS X kan du vise, opprette og ødelegge TGTs ved hjelp av Ticket Viewer-programmet finnes i /System /Library /Coreservices.
Vis TGTs og service billetter til den aktuelle brukeren ved å skrive klist i Terminal og trykke Enter. Her er et eksempel på hva du kan se:
klient: ~ lianabare $ klistDefault rektor: [email protected] Starting Utløper Tjenesten Principal06 /30/11 14:24:40 06/30/11 00:24:40 krbtgt/[email protected] fornye inntil 06/30/11 14: 24: 3406/30/11 14:24:41 06/30/11 00:24:40 afpserver /fileserver.example. [email protected] fornye inntil 06/30/11 14: 24: 3406/30/11 14:24:59 06/30/11 00:24:40 http/[email protected]. COM fornye inntil 06/30/11 14: 24: 3406/30/11 14:26:27 06/30/11 00:24:40 xmpp/[email protected] fornye inntil 06/30 /11 14:24:34

Previous:Hvordan LDAP brukes for autentisering og autorisering i Lion Server

Next Page:Avanserte alternativer for Active Directory integrering i Lion Server