Como Single Sign-On funciona a autenticação no Lion Server

única autenticação sign-on Mac OS X Kerberos é uma forma segura e indolor para se conectar a cargas de, amplos serviços que vão Leão únicas quando é configurado como um mestre Open Directory.

Se um usuário precisa conectar a muitos serviços únicos, ele poderia enviar um nome de usuário e senha para cada serviço, abrindo um caminho para um malfeitor para interceptar e quebrar a senha. A alternativa mais segura é usar Kerberos single sign-on autenticação, em que o usuário digita uma senha uma vez e tem acesso a todos os serviços.

Com Kerberos ativada, a senha não é transmitida através da rede. Em vez disso, a problemas no sistema de bilhetagem criptografados fichas chamada bilhetes e autentica-lo uma vez (geralmente a partir de janela de login do Mac OS X), e os bilhetes subsequentes permitir o acesso a outros serviços compartilhados.

Pense Kerberos como passar o dia visitando um parque de diversões popular. A primeira coisa a fazer quando você chegar ao parque é comprar um passe. Esta passagem é o seu bilhete concessão de tíquete Kerberos (TGT), emitido pelo Centro de distribuição de chaves Kerberos (KDC) quando você fazer login para Mac OS X em um diretório compartilhado.

No parque, você paga a taxa de entrada e acessar os fundamentos durante todo o dia. os usuários fazem login uma vez e tenha acesso a todo o parque. No entanto, o passe não significa automaticamente que você pode saltar sobre qualquer viagem ou que você obter cachorro-quente e pipoca. Você ainda precisa de fila para cada viagem e pagar por seus lanches.

No Kerberos, o TGT é apresentado ao acessar um serviço, tais como compartilhamento de arquivos ou e-mail. O KDC cria um novo bilhete de serviço que o cliente usa para se autenticar no serviço. Mas o usuário não é apresentado com uma tela de login depois que o primeiro login.

Quando o parque fecha, o seu passe não é bom para o dia seguinte. No Kerberos, quando você sair, os bilhetes TGT e serviços são destruídos. Se alguém conseguiram descobrir como quebrar no sistema do bilhete, TGTs são bons para um determinado período de tempo apenas: dez horas após o login no Mac OS X Server. E os bilhetes Kerberos são armazenados na memória RAM, e não o disco rígido.

Mac OS X Server é fácil de configurar como um KDC- quando você configurá-lo como um mestre de Open Directory, um KDC é configurado automaticamente. Open Directory também pode fazer uso de outro KDC em execução em outro servidor, como um controlador de domínio do Active Directory. No Mac OS X, você pode ver, criar e destruir TGTs usando o aplicativo Ticket Visualizador encontrado em / System / Library / CoreServices.

image0.png

Veja TGTs e permissões de serviço para o usuário atual, digitando klist no Terminal e pressionando Return. Aqui está um exemplo do que você pode ver:

cliente: ~ lianabare $ klistDefault principais: [email protected] partida Expira Serviço Principal06 / 30/11 14:24:40 06/30/11 00:24:40 krbtgt/[email protected]. COMrenew até 06/30/11 14: 24: 3406/30/11 14:24:41 06/30/11 00:24:40 afpserver/[email protected] até 06/30/11 14: 24: 3406/30/11 14:24:59 06/30/11 00:24:40 http/[email protected] até 06/30/11 14: 24: 3406/30 / 11 14:26:27 06/30/11 00:24:40 xmpp/[email protected] até 06/30/11 14:24:34

menu