面对多计算机的身份管理以及账户信息同步, 其解决方案并不是把信息存放在本地, 而是存放在一台提供验证服务的服务器上.
凭借SSO, 用户输入密码进行一次性身份验证即可获得用于向其他服务进行身份验证的一种票据或cookie.
集中式身份管理系统需要提供的服务;
1. 账户信息, 包括用户名 目录位置 UID GID 组成员身份等信息,解决方案有:
LDAP 轻量级目录访问协议
NIS 网络信息服务
2. 身份验证信息, 系统验证身份的方法 解决方法为:
kerberos 仅提供SSO身份验证服务, 可用于IPA服务器和Active Directory
LDAP 配合kerberos使用
LDAP是一种支持TCP/IP的数据库, 但与一般表型数据库不同的是, LDAP是树形结构的.
它也有服务端与客户端, 服务端用于存储数据, 客户端用于存储数据的增删改查.
LDAP的据结构:(dn: cn , ou, dc), 可选的(o 组织, c 国家)略之
dn distinguished name区分名,就是完成的条目地址, 它是在一个目录中总是唯一的
dc domain component 是数据的存放位置(相当于SQL的表), 常用写法: dc=example, dc=com, 代表域example.com
ou organization unit 组织名, 代表数据的分组, 最多4级, 每级最长32个字符
cn common name, 代表数据的id, 一般为用户名或服务器名
那么, 回答本章, LDAP负责的就是存放用户的认证信息的数据库了.
LDAP这种数据库的特点是读效率特高, 写效率低.
LDAP的认证原理,简单讲解两种:
a).每一个登陆,连接请求先去拉取所有的可通过用户的列表,然后去查找是否在已