Глава 5. Примеры OpenLDAP

5.5 Технология единого входа (Single Sign On)

Содержание

5.1 Простой каталог

5.1.1 Проектирование DIT
5.1.2 Выбор структурного объектного класса
5.1.3 Файл slapd.conf
5.1.4 Файл LDIF
5.1.5 Загрузка LDIF-файла
5.1.6 Добавление записей с помощью LDIF
5.1.7 Изменение записей с помощью LDIF
5.1.8 Напоследок просто подурачимся

5.2 Защита каталога

5.2.1 Политика безопасности
5.2.2 Добавление групп
5.2.3 ACL — директивы access файла slapd.conf
5.2.4 Тестирование ACL

5.3 Расширение иерархии

5.3.1 Расширение требований
5.3.2 Реализация расширения
5.3.3 LDIF для реализации расширения
5.3.4 ACL — директивы access файла slapd.conf
5.3.5 Тестирование ACL

5.4 Создание и добавление объектов

5.4.1 Требования
5.4.2 Реализация
5.4.3 Определения атрибутов
5.4.4 Определение объектного класса и набора схемы
5.4.5 ACL — директивы access файла slapd.conf
5.4.6 LDIF
5.4.7 Тестирование изменений

5.5 Технология единого входа (Single Sign On)
5.6 Отсылки и репликация

5.5 Технология единого входа (Single Sign On, SSO)

В этой главе мы собираемся рассмотреть весьма важные для *nix систем и сетей возможности технологии единого входа (Single Sign On, SSO), и их реализацию на основе OpenLDAP. В следующей таблице отражён потенциальный диапазон SSO, а также те сферы, где возможно или даже желательно применение SSO:

ФункцияТип учётной записиКаким образомОСПримечания
СистемаUnixpam_ldap.so
nss_ldap
Linux, FBSD5.xДоступ к ресурсам сервера путём локального или удалённого входа в систему (logon). В FreeBSD 4.x не поддерживается система проверки пользователей pam/NSS, поэтому использование SSO для выполнения входа в систему невозможно.
ПочтаAppcourier-nativeЛюбаяДоступ к электронной почте — локальные и виртуальные пользователи
ftpAppProFTP
mod_ldap
ЛюбаяДоступ к приватным (не анонимным) ftp-сервисам
СетьUnixSamba3ЛюбаяДоступ к сетевым ресурсам с рабочих станций Windows и OS с помощью PDC на NT или Samba (PDC в стиле NT). Требуется учётная запись Unix.
webAppApache
mod_ldap
ЛюбаяДоступ к Intranet или приватным web-сервисам, например WEBDAV

Функциональные требования

Мы определим функциональные требования к системам SSO, которые на первый взгляд могут показаться очевидными, но...

Примечание: у консорциума OpenGroup есть прекрасное введение по этой теме, составная часть их спецификации XSSO.

  1. Единый пользовательский пароль для получения доступа ко всем функциям, разрешённым для данного пользователя или группы пользователей, в которую он входит. Это не обязательно означает, что под одним и тем же паролем пользователь получит доступ ко всем возможным сервисам, но LDAP-хранилище, в котором могут содержаться один или несколько паролей, будет доступно по единому паролю. С точки зрения пользователя технология единого входа соблюдается, даже если для разных приложений или подсистем фактически применяются разные пароли.

  2. Единое с точки зрения администраторов место определения/управления доступом к различным функциям для каждого пользователя или группы пользователей.

  3. Возможность создавать, изменять или удалять пользователей, а также назначать (ограничивать) пользователям права на доступ.

Уже совсем скоро (One day real soon now™).

under construction

Наверх

Шаг 6 — Отсылки и репликация

Перейти



Проблемы, комментарии, предположения, исправления (включая битые ссылки) или есть что добавить? Пожалуйста, выкроите время в потоке занятой жизни, чтобы написать нам, вебмастеру или в службу поддержки. Оставшийся день Вы проведёте с чувством удовлетворения.

Нашли ошибку в переводе? Сообщите переводчикам!

Copyright © 1994-2013 ZyTrax, Inc. Все права защищены. Последнее изменение страницы: 16 сентября 2013 г.
Переведено участниками проекта Pro-LDAP.ru в 2012-2013 г.