অ্যাক্টিভ ডিরেক্টরি সহ এসএসও কীভাবে কাজ করবে যার মাধ্যমে ব্যবহারকারীরা স্বচ্ছভাবে একটি ইন্ট্রানেট ওয়েব অ্যাপ্লিকেশনটিতে লগ ইন করেছেন?

40

আমাকে বলা হয়েছে যে কোনও ওয়েব অ্যাপ্লিকেশন তৈরি করা সম্ভব যা লগইনের প্রয়োজন হয় না। ব্যবহারকারী উইন্ডোজে লগ ইন করে যা একটি অ্যাক্টিভ ডিরেক্টরি (এলডিএপি) লুকআপের মাধ্যমে প্রমাণীকরণ করে। তারপরে, তাদের আমার ওয়েব অ্যাপে যেতে সক্ষম হওয়া উচিত এবং লগইন প্রম্পটটি কখনই দেখতে পাওয়া যায় না। এই গ্রাহকরা এটি সিঙ্গল সাইন অন হিসাবে উল্লেখ করছেন (সম্ভবত ভুলভাবে এবং আমার বিভ্রান্তির অংশ)।

তবে, টমক্যাট ডক্স থেকে আমি একক সাইন অন পড়েছি তা থেকে:

আপনি যখন ভার্চুয়াল হোস্টের সাথে সম্পর্কিত যে কোনও ওয়েব অ্যাপ্লিকেশনটিতে ব্যবহারকারীদের সাইন ইন করতে এবং তারপরে একই পরিচয় একই ভার্চুয়াল হোস্টের সমস্ত অন্যান্য ওয়েব অ্যাপ্লিকেশন দ্বারা তাদের পরিচয় স্বীকৃত করতে চাইলে সিঙ্গল সাইন অন ভালভ ব্যবহার করা হয় ।

এটি আমার কাছে পুরোপুরি স্পষ্ট। ব্যবহারকারীর একবার লগইন করতে হবে এবং টমক্যাটের উদাহরণে প্রতিটি ওয়েব অ্যাপ্লিকেশন অ্যাক্সেস করতে পারে। তবে, আমার যা করা দরকার তা হ'ল আমার টমক্যাট সার্ভারে কোনও শংসাপত্র সরবরাহ না করেই তাদের লগইন করতে দিন।

সুতরাং, এটি কাজ করার জন্য আমি কল্পনা করি:

  • ব্যবহারকারী কিছু পৃষ্ঠার জন্য অনুরোধ করে
  • সার্ভার কোনও সেশন টোকেন না দেখে কিছু শংসাপত্রের জন্য ক্লায়েন্টকে অনুরোধ করে request
  • ব্যবহারকারীর কোনও হস্তক্ষেপ ছাড়াই ক্লায়েন্ট ব্রাউজার সার্ভারে কিছু শংসাপত্র সরবরাহ করে।
  • তারপরে, ক্লায়েন্ট ব্রাউজারের সরবরাহ করা cred শংসাপত্রগুলি ব্যবহার করে এটি একটি এলডিএপিতে নজর রাখে।

আমি এমন কয়েকটি উদাহরণ দেখেছি যা ক্লায়েন্টের পাশের শংসাপত্রগুলি ব্যবহার করে ... বিশেষতঃ ডিওডি পিকেআই সিস্টেম যা আমার কাছে কিছুটা অর্থপূর্ণ হয় কারণ সেই ক্ষেত্রে আপনি টমক্যাটকে ক্লায়েন্টের পাশের শংসাপত্রগুলির জন্য অনুরোধ করার জন্য কনফিগার করেছেন তবে উইন্ডোতে লগইন করতে দেখছি কীভাবে এটি হয় না কাজ করবে এবং ব্রাউজারটি সার্ভারে কোন তথ্য দেবে ইত্যাদি N এনটিএলএম কি এটি ব্যবহার করা হয়?

authentication  active-directory  single-sign-on  pki 
blak3r
সূত্র

উত্তর:

40

প্রথমত - এবং অন্যান্য ব্যবহারকারীরা যদি এই পৃষ্ঠাটি দেখার সুযোগ পান - কেবলমাত্র কয়েকটি প্রমাণীকরণের পদ্ধতি রয়েছে যা আপনাকে প্রম্পটলেস এসএসও করার অনুমতি দেয়। এগুলি এনটিএলএম এবং কার্বেরোস । অন্যদিকে এলডিএপি কখনও আপনাকে প্রম্পটলেস এসএসও দেবে না।

এনটিএলএম আসলে এনটিএলএমভি 1 এবং এনটিএলএমভি 2। এগুলি খুব আলাদা এবং গুরুতর সুরক্ষা সমস্যার কারণে এনটিএলএমভি 1 অবনতি হয়। আপনার জাভা প্রমাণীকরণ সমাধানগুলি থেকে বিরত থাকা উচিত যা তারা এনটিএলএমভি 1 বা এনটিএলএমভি 2 সমর্থন করে তবে সঠিকভাবে সনাক্ত করতে ব্যর্থ হয় কারণ তারা কেবল তাদের ডকুমেন্টেশনে "এনটিএলএম" শব্দটি ব্যবহার করে। সম্ভাব্যতা হ'ল বিকাশকারীদের সুরক্ষা সমাধানটি আগুনের হাত থেকে রক্ষা পাওয়ার জন্য আরও বেশি কারণ বলে নিজেরাই জানেন না।

প্রথাগত বিশ্বাসের বিপরীতে এনটিএলএমভি 1 এবং এনটিএলএমভি 2 উভয়ই মাইক্রোসফ্ট দ্বারা সম্পূর্ণ নথিভুক্ত হয়েছে তবে আপনি এখনও এমন সমাধান পাবেন যা প্রোটোকলটিকে 'রিভার্স ইঞ্জিনিয়ারড' বলে দাবি করে। এটা সত্য যে মাইক্রোসফ্টের প্রোটোকলগুলির 2006 নং 2006 বা 2007 সালের প্রোটোকলগুলির নথীকরণের আগে এটির দরকার ছিল Any যাইহোক এনটিএলএমভি 1 হ'ল না। প্রতি সেটে এনটিএলএমভি 2-তে কোনও সমস্যা নেই তবে মাইক্রোসফ্ট কার্বেরোস প্রমাণীকরণের পক্ষে তার সমস্ত পণ্যগুলিতে এনটিএলএম (কোনও আকারে) বেরিয়ে আসছে। এনটিএলএমভি 1 দীর্ঘ মৃত এবং এনটিএলএমভি 2 এখন কেবলমাত্র মাইক্রোসফ্টের ক্ষেত্রেই ব্যবহার করা হয় যেখানে কোনও ডোমেন নিয়ন্ত্রক উপলব্ধ নেই। নীচের লাইন: এনটিএলএম (কোনও আকারে) আসলে এগিয়ে যাওয়ার পথ নয়। আমাদের এখানে আসলে একটি মান ভিত্তিক পদ্ধতির জন্য মাইক্রোসফ্টকে সালাম জানানো উচিত।

এটি আপনাকে কারবেরোসের সাথে ছেড়ে দেয়। মাইক্রোসফ্ট এইচটিটিপি-র মাধ্যমে প্রমাণীকরণ সংক্রান্ত তথ্য আলোচনা এবং পরিবহণের জন্য একটি প্রোটোকল তৈরি করেছে। এটি মাইক্রোসফ্ট পণ্যগুলিতে " ইন্টিগ্রেটেড উইন্ডোজ অথেনটিকেশন " নামে পরিচিত তবে এটি এসপিএনইজিওওর নামে অফিসিয়াল স্ট্যান্ডার্ড হিসাবে নখেছে । এটি আপনার সন্ধান করা উচিত। এসপিএনইজিও এনটিএলএমভি 2 এবং কার্বেরোস উভয়কে অন্তর্নিহিত প্রমাণীকরণ প্রক্রিয়া হিসাবে সমর্থন করে তবে উপরের কারণে আপনাকে এনটিএলএমভি 2 এর পরিবর্তে কার্বেরোসকে লক্ষ্য করা উচিত।

আমি সোর্সফর্জে এসপিএনইজিও প্রকল্পটি ব্যবহার করে একাধিক টমক্যাট অ্যাপ্লিকেশন (লিনাক্স / সোলারিসে চলমান) সফলভাবে সংহত করেছি । আমি এটি সবচেয়ে সহজ পদ্ধতির বলে মনে করেছি। এটি আপনাকে প্রম্পটলেস এসএসও দেয় যা উদাহরণস্বরূপ একটি শেয়ারপয়েন্ট সার্ভার করে to আপনার ব্যবহারকারীরা 'এসএসও' সম্পর্কে কথা বলার পরে সম্ভবত এটি প্রত্যাশা করবে। অ্যাক্টিভ ডিরেক্টরিতে কের্বেরোস কনফিগারেশনটি সঠিকভাবে পাওয়া, কী উত্পন্ন করা এবং 'ডামি' অ্যাকাউন্ট স্থাপন করা ঝামেলা হতে পারে তবে আপনি যখন এটি সঠিকভাবে পেয়ে যান তবে এটি কবজির মতো কাজ করে।

সোর্সফোর্জে এসপিএনইজিও প্রকল্প সম্পর্কে আমি কেবল পছন্দ করি না তা হ'ল এটি আমি কতক্ষণ প্রমাণীকরণ সম্পাদন করে তা বুঝতে পারি না। আমার বাজে সন্দেহ এটি প্রতিটি সেশনের জন্য একবার না করে প্রতিটি পৃষ্ঠা দেখার জন্য এটি করে। সম্ভবত আমি এই ভুল। যাইহোক: এসএসও সমাধানগুলিতে বিবেচনা করার জন্য এটি আরেকটি বিষয়কে হাইলাইট করে: আপনি এমন কোনও সমাধান প্রয়োগ করতে চান না যা আপনার পরিচয় প্রদানকারীকে 'স্প্যাম' করে তোলে (অ্যাক্টিভ ডিরেক্টরিটি বলুন) অপ্রয়োজনীয় অনুরোধগুলির সাথে।

unixhacker2010
সূত্র
2
ধন্যবাদ, এটি গৃহীত উত্তর তৈরি করুন। প্রম্পটলেস লগইনগুলির তালিকায় আপনার যুক্ত করার জন্য একটি জিনিস হ'ল x509 শংসাপত্রের লগইন ... সরকারী সিএসি কার্ডগুলির মতো।
blak3r 16
এটি 6 বছরের পুরানো হলেও দুর্দান্ত উত্তর! আমি এক্স 10 upvote যদি আমি করতে পারি!
টিম এস
2

একটি উইন্ডোজ অ্যাক্টিভ ডিরেক্টরি পরিবেশে, সিঙ্গল সাইন অন অর্থ একটি অভ্যন্তরীণ ওয়েব পৃষ্ঠাগুলি দেখার অর্থ আপনার উইন্ডোজ লগইন অনুমতি বহন করে এবং ওয়েব সার্ভার তাদের উপর কাজ করতে পারে। এটি এমন কিছু যা এনটিএলএম ব্যবহৃত হয়, তবে নতুন বাস্তবায়নগুলি পরিবর্তে কার্বেরোস ব্যবহার করে।

আপনি যদি একটি শেয়ারপয়েন্ট সার্ভার ওয়েবসাইট খোলেন তবে এটি জানেন যে লগইন ব্যবহারকারীর নাম এবং পাসওয়ার্ডের প্রয়োজন ছাড়াই আপনি কে, (আপনি যদি আপাচি ভোস্টে বা আউটসোর্স হোস্ট করা সার্ভারের মতো "ভার্চুয়াল হোস্ট" বলতে চান তবে আমি বলতে পারি না)।

: এখানে একটি Microsoft Document চলমান একটি ওয়েব সার্ভার আইআইএস / ASP.Net কিভাবে কার্বেরস প্রমাণীকরণের কাজ বর্ণনা করা হয়েছে http://msdn.microsoft.com/en-us/library/ff647076.aspx

এটি অ্যাপাচি / টমক্যাট / জাভা দিয়ে করা সম্ভব বলে মনে হচ্ছে। এখানে একটি ইউকে বিশ্ববিদ্যালয়ের বাস্তবায়ন বর্ণনা করার জন্য একটি পিডিএফ রয়েছে: http://gfivo.ncl.ac.uk/documents/UsingKerberosticketsfortrueSingleSignOn.pdf এবং এর জন্য একটি কোডপ্লেক্স প্রকল্প: http://tomcatspnego.codeplex.com/ এবং ওপেনফায়ার কিছু আছে এখানে সাধারণত জাভা / কার্বেরোসের সাথে কাজ করার জন্য ডকুমেন্টেশন ( http://commune.igniterealtime.org/docs/DOC-1060 )।

TessellatingHeckler
সূত্র
0

মাইক্রোসফ্ট যা ইন্টিগ্রেটেড উইন্ডোজ প্রমাণীকরণ হিসাবে উল্লেখ করে তা আপনি বর্ণনা করছেন বলে মনে হচ্ছে sounds

দেখে মনে হচ্ছে টমক্যাট এই নিবন্ধের ভিত্তিতে উইন্ডোজ প্রমাণীকরণ সমর্থন করে ।

Artomegus
সূত্র
-1

প্রারম্ভিকদের জন্য, আপনি লগইন এড়াতে পারবেন না। আপনি যদি ব্যবহারকারীদের সনাক্ত করতে চান তবে আপনার তাদের লগইন করতে হবে। এনটিএলএম ভুলে যান, কার্বেরোস উদ্ধার করতে আসে - এটি সম্পূর্ণ স্বচ্ছ পদ্ধতিতে সবকিছু করতে পারে।

সিঙ্গলসাইনঅনভালভ আপনি যা খুঁজছেন তা নয়। আপনি হুল বিড়াল 7 ব্যবহার করেন, তাহলে আপনি ব্যবহার করতে পারেন SpnegoAuthenticator সরাসরি কিন্তু 6 আপনি ব্যবহার করতে হবে এই

মাইকেল-হে
সূত্র
সামান্য বিভ্রান্ত ... প্রথম এবং দ্বিতীয় বাক্যটি বিরোধিতা বলে মনে হচ্ছে। কার্বেরোসের সাথে ব্যবহারকারীর লগইন করার জন্য অনুরোধ করা হয়নি?
blak3r
1
না তারা না। বড় ছবিটি দেখুন, কেরবারোসকে ধন্যবাদ ব্যবহারকারী একবার নিজেই তার শংসাপত্রগুলি প্রবেশ করে এবং তারপরে প্রতিটি লগইন তার পক্ষ থেকে স্বয়ংক্রিয়ভাবে ঘটে। এর অর্থ এই নয় যে কোনও লগইন তখনই ঘটে না। এটি আপনি লিখেছেন।
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.