そう/実性のKerberos?が実現可能な選択肢のでしょうか?
https://stackoverflow.com/questions/894301
-
23-08-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
Russian質問
計画しており、利用のkerberosちます。いう認識しているか実際の利点をこの技術がある。
注するには、こちらをクリックして.net client side javaサーバー側となります。コミュニケーション経由の送信バスとSOA
正しい解決策はありません
他のヒント
さもなければ、内主にWindows環境(Windowsサーバー2k3、ドメインコントローラ、アクティブディレクトリなど) その中で特に気には利用できる 偽装 ます。増加するとともに、分割webサーバとデータベースサーバーです。利用のNTLM方法ができない"をダブルホップ".
見てみましょう例:
- お持ちのウェブサーバー(WEB1)
- お持ちのデータベースサーバを別々のマシン(DB1)
- お持ちのユーザーのアクセスサイト(USER1)
USER1ーページ一覧が表示されます。おWEB1サーバは、クエリDB1この情報を表示します。したいプロジェクトへの協賛を始めどの受注がれに基づくユーザー資格情報にアクセス権である。このように、設定のリンクをグループやユーザーに割り当てます。おデータベースで、それぞれ異なる団体に異なるセキュリティ(1群もののみを選択し、2群れを選択し、挿入、更新があります。
NTLMをサポートしていないのダブルホップが必要ではないかと思います。WEB1がUSER1の資格をDB1(その他WEB1ログインが必要にな入DB1が分かっている専用のユーザidとパスワードをハードコードします。config例えば、通常は完全にアクセスのすべてをサポートしていきユーザーしています。想像できることが安全保障の危険はWEB1が損なわれるだけではできないので、それ以外の方の利益管理のWEB1(sqlインジェクションかもしれない)が何でも専用のユーザーアカウントがや装で、良にあると言わざるを得ない。Kerberosを通じて、代表団はWindowsサーバー、サポートし、そこに第二のホップを暗号化された資格キーからお客様のドメインサーバにそのままに、嫁とすることを確認された許可(両端部には、下記を参照してくださいための設定でこのおのサーバでなければ明示的に使用可能)。
に非常に便利でない場合は、この開発イントラネットによるwebアプリとしてデータベースのバックエン(99%の時間の場合。) び出すためのものではありません管理認証および認証を通じてWindows統合します。Kerberosは本当にのみご選択の場合はwebサーバ、データベースサーバと同一の機械は、ありません転送の資格と偽装が必要です。
参照:
