Kerberos和LDAP？

Question

我想知道LDAP是否可以使用Kerberos作为数据库类型？我有一个使用LDAP的系统，我的SA说可以使用Kerberos作为LDAP数据库类型，我不需要进行任何编程更改，但系统更安全！

Answer 1

您可以将LDAP与Kerberos一起使用。Active Directory就是一个很好的例子。AD是一个包括LDAP、Kerberos、DNS和NTP的协作工具。

您可以配置LDAP以保存LDAP用户信息，并使用Kerberos进行单点登录的用户授权。您可以使用389-ds作为LDAP并将Kerberos与其集成。您可以检查相同的http://tech.groups.yahoo.com/group/linuxvadapav/message/4148这不包括kerberos部分，但您将能够让LDAP的事情工作。

对于协作套件，您可以使用freeIPA http://freeipa.org/page/Main_Page

Answer 2

LDAP与数据库无关。LDAP仅是一种协议。

协议被定义为："..用于在计算系统中或在计算系统之间以及在电信中交换这些消息的数字消息格式和规则的系统。“http://en.wikipedia.org/wiki/Protocol_(computing)

“轻型目录访问协议( LDAP；/BER/)是一种应用程序协议，用于通过互联网协议(IP)网络访问和维护分布式目录信息服务。1LDAP是根据ASN.1定义的，并使用ˈɛ传输。”

Answer 3

您可以使用Kerberos身份验证保护对现有LDAP数据库的访问。大多数LDAP服务器实现都支持通过SASL API进行身份验证。SASL是身份验证的通用抽象，支持不同的方法。其中一种方法是GSSAPI，它允许包装Kerberos身份验证。

OpenLDAP有一章专门介绍如何配置基于http://www.openldap.org/doc/admin24/sasl.html的身份验证

389-ds是另一种流行的开源LDAP服务器，也支持SASL身份验证。您可以在此处详细了解如何保护对它的访问：https://access.redhat.com/site/documentation/en-US/Red_Hat_Directory_Server/9.0/html/Administration_Guide/SecureConnections.html

上面的OpenLDAP和389-ds示例假设您的组织中已经部署了Kerberos基础架构。如果你需要部署一个，我建议你看看FreeIPA，它目前在Fedora和RHEL的衍生品中可用。