Comment single sign-on authentification fonctionne dans le serveur de lion

Seule l'authentification d'ouverture de session Mac OS X Kerberos est un moyen sûr et indolore de se connecter à des charges de services de Lion allant uniques, vastes quand il est mis en place comme un maître Open Directory.

Si un utilisateur doit se connecter à de nombreux services uniques, il pourrait envoyer un nom d'utilisateur et mot de passe pour chaque service, l'ouverture d'un chemin d'accès pour un malfaiteur à intercepter et à casser votre mot de passe. L'alternative plus sûre est d'utiliser Kerberos authentification unique l'authentification, dans lequel l'utilisateur entre un mot de passe une fois et a accès à tous les services.

Avec Kerberos activée, le mot de passe ne sont jamais transmises sur le réseau. Au lieu de cela, un des problèmes du système de billetterie cryptées jetons appelés billets et vous authentifie fois (généralement à partir de la fenêtre de connexion Mac OS X), et les billets suivants permettent d'accéder à d'autres services partagés.

Pensez Kerberos comme passer la journée à visiter un parc d'attractions populaire. La première chose que vous faites quand vous arrivez à le parc est d'acheter un laissez-passer. Ce pass est votre Kerberos, le ticket (TGT), délivré par le Key Distribution Center (KDC) lorsque vous vous connectez à Mac OS X sur un répertoire partagé.

Au parc, vous payez les frais d'inscription et d'accéder aux motifs toute la journée. Les utilisateurs se connectent une fois et avoir accès à l'ensemble du parc. Cependant, le passage ne signifie pas automatiquement que vous pouvez sauter sur un tour ou que vous obtenir des hot-dogs et du maïs soufflé. Vous avez encore besoin de faire la queue pour chaque trajet et de payer pour vos collations.

Dans Kerberos, votre TGT est présenté lors de l'accès d'un service, telles que le partage de fichiers ou d'e-mail. Le KDC crée un nouveau ticket de service que votre client utilise pour authentifier le service. Mais l'utilisateur ne se présente pas avec un écran de connexion après cette première connexion.

Lorsque la fermeture du parc, votre carte est pas bon pour le lendemain. Dans Kerberos, lorsque vous vous déconnectez, le TGT et de services billets sont détruits. Si quelqu'un a réussi à comprendre comment briser au système de billetterie, TGT sont bons pour une période de temps définie seulement: dix heures après la connexion à Mac OS X Server. Et les tickets Kerberos sont stockés dans la mémoire RAM, pas le disque dur.

Mac OS X Server est facile à configurer comme un KDC lorsque vous installez-le comme un maître Open Directory, un KDC est configuré automatiquement. Open Directory peut également faire usage d'un autre KDC exécuté sur un autre serveur, comme un contrôleur de domaine Active Directory. Dans Mac OS X, vous pouvez afficher, créer et détruire TGT en utilisant l'application Ticket Viewer trouvé dans / System / Library / CoreServices.

Voir TGT et tickets de service pour l'utilisateur actuel en tapant klist dans le Terminal et en appuyant sur Entrée. Voici un exemple de ce que vous pourriez voir:

client: ~ $ lianabare klistDefault principale: [email protected] départ Expire service Principal06 / 30/11 14:24:40 06/30/11 00:24:40 krbtgt/[email protected]. COMrenew jusqu'au 06/30/11 14: 24: 3406/30/11 14:24:41 06/30/11 00:24:40 afpserver/[email protected] jusqu'au 06/30/11 14: 24: 3406/30/11 14:24:59 06/30/11 00:24:40 http/[email protected] jusqu'au 06/30/11 14: 24: 3406/30 / 11 14:26:27 06/30/11 00:24:40 06/30/11 14:24:34 jusqu'à xmpp/[email protected]