web-dev-qa-db-fra.com

Kerberos vs LDAP pour l'authentification - lequel est plus sécurisé

Quelqu'un peut-il décrire/souligner les avantages relatifs de l'utilisation de Kerberos ou LDAP pour l'authentification dans un grand environnement hétérogène?

Et

Pouvons-nous basculer entre eux de manière transparente?

23
Ijaz Ahmad Khan

Dans la mesure du possible, utilisez l'authentification Kerberos avant tout. Il a été construit pour fournir une authentification/autorisation et est le option la plus sécurisée . Le principe consiste à échanger des informations d'identification dans un environnement qui n'est pas approuvé.

LDAP peut être facilement mal configuré pour envoyer des informations d'identification en texte clair sur le réseau. Pour éviter cela, utilisez toujours LDAPS (TCP636) car il encapsule tout le trafic dans SSL. LDAP est souvent utilisé pour l'authentification/autorisation adhoc, en particulier les applications Web utilisant l'authentification par formulaire.

21
user2320464

Quelqu'un peut-il décrire/souligner les avantages relatifs de l'utilisation de Kerberos ou LDAP pour l'authentification dans un grand environnement hétérogène?

L'authentification LDAP est une authentification centralisée, ce qui signifie que vous devez vous connecter avec chaque service, mais si vous changez votre mot de passe, il change partout.

Kerberos est à authentification unique (SSO), ce qui signifie que vous vous connectez une fois et obtenez un jeton et n'avez pas besoin de vous connecter à d'autres services.

Il y a un compromis: LDAP est moins pratique mais plus simple. Kerberos est plus pratique mais plus complexe. Les choses sécurisées sont simples et pratiques.

Il n'y a pas de bonne réponse. Si vous avez besoin de l'authentification unique, utilisez Kerberos. Sinon LDAP. Vous pouvez également envisager YP/NIS (sur IPSEC) pour l'authn centralisé.

Le fait que les faucons de sécurité d'OpenBSD aient abandonné Kerberos mais aient créé leur propre serveur LDAP pourrait vous dire quelque chose ...

Pouvons-nous basculer entre eux de manière transparente?

Non vous ne pouvez pas. Eh bien, peut-être que vous pouvez avec PAM. Mais vos utilisateurs remarqueront

26
Neil McGuigan