ngày xửa ngày xưa, có một khu rừng ảo ấm áp tuyệt đẹp ở Nam Mỹ và một máy chủ mực sống ở đó. Đây là một hình ảnh tri giác của mạng:
<the Internet>
|
|
A | B
Users <---------> [squid-Server] <---> [LDAP-Server]
Khi Users
yêu cầu truy cập Internet, squid
hãy hỏi tên và hộ chiếu của họ, xác thực chúng bằng cách LDAP
và nếu ldap chấp thuận chúng, thì anh ta đã cấp cho họ.
Mọi người đều vui mừng cho đến khi một số người đánh hơi lấy trộm hộ chiếu ở đường giữa người dùng và mực [đường A]. Thảm họa này xảy ra vì mực sử dụng Basic-Authentication
phương pháp.
Người dân rừng xanh tụ tập để giải quyết vấn đề. Một số thỏ được cung cấp bằng cách sử dụng NTLM
phương pháp. Rắn thích Digest-Authentication
trong khi Kerberos
được cây khuyên dùng.
Rốt cuộc, nhiều giải pháp được cung cấp bởi người rừng và tất cả đã bị nhầm lẫn! Sư tử quyết định chấm dứt tình hình. Ông hét lên các quy tắc cho các giải pháp:
- Giải pháp sẽ được an toàn!
- Giải pháp có hiệu quả với hầu hết các trình duyệt và phần mềm không (ví dụ: phần mềm tải xuống)
- Giải pháp sẽ đơn giản và không cần hệ thống con lớn khác (như máy chủ Samba)
- Không phải là phương pháp phụ thuộc vào miền đặc biệt. (ví dụ: Thư mục hoạt động)
Sau đó, một giải pháp rất thông minh-toàn diện-thông minh được cung cấp bởi một con khỉ, biến nó thành vua mới của rừng rậm!
bạn có thể đoán giải pháp là gì không?
Mẹo:
Đường đi giữa squid
và LDAP
được sư tử bảo vệ, vì vậy giải pháp không bảo đảm an toàn cho nó.
Lưu ý: xin lỗi nếu câu chuyện nhàm chán và lộn xộn, nhưng hầu hết là có thật! =)
/~\/~\/~\ /\~/~\/~\/~\/~\ ((/~\/~\/~\/~\/~\)) (/~\/~\/~\/~\/~\/~\/~\) (//// ~ ~ \\\\) (\\\\( (0) (0) )////) (\\\\( __\-/__ )////) (\\\( /-\ )///) (\\\( (""""") )///) (\\\( \^^^/ )///) (\\\( )///) (\/~\/~\/~\/) ** (\/~\/~\/) *####* | | **** /| | | |\ \\ _/ | | | | \_ _________// Thanks! (,,)(,,)_(,,)(,,)--------'
Cập nhật:
Massimo giải thích rằng phương thức xác thực giữa Users
- squid
và squid
- LDAP
không nhất thiết phải giống nhau. chúng ta có thể sử dụng phương pháp tùy ý để lấy thông tin xác thực từ người dùng và phương pháp tùy tiện đến dữ liệu được thu thập xác thực.
Nhưng có một vấn đề: đầu vào / đầu ra của tất cả các loại trình xác thực không giống nhau. Ví dụ:
- một trình
Basic
xác thực sẽ đọc cặp "mật khẩu tên người dùng" trong một dòng và trả lờiOK
nếu thông qua người dùng là chính xác hoặcERR
- một trình
Digest
xác thực nên đọcusername:realm
và trả lời mã hóa hexHA(A1)
hoặc hoặcERR
.
Mặc dù không có mối quan hệ trực tiếp giữa phương pháp mực khách và phương pháp mực ống, dữ liệu thu thập được từ máy khách phải tương thích với phương pháp được sử dụng trong phần mực-ldap. Do đó, nếu chúng tôi thay đổi phương thức xác thực ở phía người dùng, chúng tôi cũng có thể nên thay đổi trình xác thực của mình.
Vì vậy, vấn đề đơn giản hóa để:
Ở cấp độ đầu tiên, tôi (con khỉ!) Đang tìm kiếm một phương thức xác thực tốt ở phía người dùng. Phương pháp nào bạn khuyên dùng là an toàn và được hỗ trợ bởi hầu hết các trình duyệt ? tôi đang bối rối giữa
NTLM
,Kerberos
vàDigest
.Nơi tôi có thể tìm thấy trình xác thực hỗ trợ thông tin xác thực của phương thức đã chọn và xác thực thông qua LDAP.