哪位高手能介绍一下LDAP认证的优点
哪位高手能简要介绍一下LDAP应用和认证的优点啊。个人感觉用https已经能够很好的保证web服务的安全了,认证无非就是比较一下密码的hash值而已,访问资源什么的用处不大,用数据库照样能管理。 估计你说的是 certificate 或 PKI (Public Key Infrastructure)认证.
通常internet的安全连接, 采用 HTTPS (严格地说实际上是 TLS/SSL connection). 而SSL一般都是基于 certificate 认证的.
一般有两种形式: 单向认证, 双向认证. 实际运作中较多地是采用单向认证.
web server具有一个server certificate. 当client (客户)用 IE/Firefox 和web server 例如某个银行
连结时, IE 会验证 web server 的 certificate, 以及 该 certificate 的发放单位的 certificate
(所谓 root certificate), 为了要进行这个验证, 通常需要 连接一个 LDAP数据库, 以检查该 certificate 或 它的
root certificate 是否有效 (LDAP 数据库通常管理着一个 黑名单).
完成了这个验证后, 客户就能肯定对方是真正的银行.
另一方面, web server 如银行 也需要验证 client 这边的确是真正的客户.
这时候有两种可能的方法, 一种是用户必须给出他的用户名和PIN (或TAN). 这就是 所谓的单向 SSL.
另一种是 客户端 也有 客户certificate (也就是说客户也有 一对 public key, private key), 这时,
银行只要验证客户的digital signature 和 certificate就足够了 (双向认证).
单向认证在安全有一些弱点. 比如通过 Phiishing Email 骗取客户的 PIN, TAN.
而双向认证就能避免这个弱点.
影响双向认证推广的主要原因是成本过高。 RSA key pair 一般是储存在
smartcard和USB token 上,而 PKI, certificate 的收费,
一些certificate的发放单位 (Trust certer)要收取每年几十EURO的手续费.
[ 本帖最后由 kaiser0825 于 2007-10-31 19:22 编辑 ] 谢谢楼上的详细解释
如果LDAP只是用作certificate验证数据库的话,功能好像不太强大啊 LDAP在提供用户认证(Authentication)之后还可提供授权(Authorization)的功能,典型的即角色分配,方便后续应用根据用户的角色来实现业务逻辑。LDAP模块和业务逻辑模块分割开来,对用户管理,整体维护和安全性都有好处。
SSL(https)只是保证点到点通信安全性的一种加密通讯方式,类似的还有VPN。其保证通讯的安全性,但本身不提供授权功能,和LDAP的概念不同。
认证的基本方法有密码认证(Basic Authentication), Certificate (PKI), Biometric (指纹,声音等)。密码认证比较常用是因为实现简单成本低,但安全性也最差。 现在的projekt用到Oracle internet directoty (LDAP impl von Oracle), 在Anwendung运行前会向OID查询用户信息和权限, 程序运行时会相对不同的用户role做出不同相应。
用户信息和权限的管理是和Anwendung本身分离。
页:
[1]