Kerberos ve / veya diğer kimlik doğrulama sistemleri - tüm PHP için bir kez oturum açma

2 Cevap php

Ben neredeyse sadece PHP ile yazılmış web uygulamaları, bir dizi idare ediyorum, ve üstüne bir rol tabanlı yetkilendirme sistemi oluşturmak için bir kimlik doğrulama platformu bulmak istiyorum. Ayrıca, kimlik doğrulama sistemi kullanmak için genişletilebilir olmak ister, örneğin, sistem hizmetleri (SSH, vb) olur

İşte aradığım temel bazı özellikleri önem sırasına göre, şunlardır:

  1. Easy PHP uygulaması (kolayca rolleri, vb okuma / depolama).
  2. Mümkünse, gereksiz. Bir auth sistem aşağı giderse herkes kilitli değil.
  3. Windows ve Mac için müşterileri var.
  4. Kolay web tabanlı yönetim (parola değiştirme, kullanıcıların / rolleri ekleme / kaldırma). Eğer değilse, ben çok fazla çaba olmadan bir yönetim sistemi inşa edebilirsiniz.
  5. Bir seferlik oturum açın.

I'd also like, when an auth token is issued, to store the user's IP address and use that to authorize the user for some non web-based applications. For that reason, I'd like a desktop client to issue the token and revoke tokens when, for example, the user becomes idle at their workstation. I'm thinking Kerberos might be a solution, but what are other options?

2 Cevap

Ben aslında geçmişte birkaç noktada var olan bu, yapıyor olsaydı, ben Kerberos ve LDAP bir arada kullanabilirsiniz. Kerberos kimlik doğrulaması yapar ve belirteçleri ile kullanıcılara sunmaktadır. LDAP yetki sağlar; vb grup üyeliği, kullanıcı iletişim bilgileri, hakkında bilgi

Kerberos çok, çok iyi test edilmiş ve yaygın olarak dağıtılır. Kerberos ile bir web uygulaması korumak için, Apache mod_krb5 veya Stanford WebAuth gibi bir çözüm kullanın. Kullanıcı Kerberoskimlik kez doğrular ve daha sonra tarayıcı automagically web uygulaması için onları oturum SPNEGO üzerinden bilet kullanmak olacaktır. Windows Active Directory Domain varsa, kullanıcıların zaten onların bilgisayar oturum açma oturumundan kullanabilirsiniz Kerberos bilet var!

Kerberos ayrıca OpenSSH'nin, çeşitli IPSEC VPN araçları, e-posta (SMTP ve IMAP ikisi) gibi diğer birçok ağ sunucu programları, desteklenir, XMPP (Jabber), vs vs sohbet

Kerberos bir altyapı olarak istediğiniz gereksiz olabilir ve ancak sizin gibi organize edebilirsiniz. Realms kimlik doğrulaması sağlayan birçok sunuculara sahip olabilir, ve keyfi şekilde birbirinden güvenebilirsiniz.

Bu sadece bir çözüm değil, tek signon için the çözümdür.

Ne arıyorsanız (aslında) bir Basit Dizin Erişim Protokolü (LDAP) sunucu / istemci kurulum. PHP, kütüphane inşa, kolayca gereksiz bulunuyor pencerelerin / mac / linux, ön uçları vardır için müşterileri var (ben şu anda herhangi bir iyi olanları tavsiye edemez gerçi) ve uygulamaların Eğer herhangi bir dizi kimlik doğrulaması sağlamak gerekir istiyorum.

Eğer tam olarak ne istediğinizi elde etmek için yerine koymak gerekir bazı ek parçalar olsa da, LDAP ile başlamalıdır çerçeve gibi geliyor.

etiketler