正文
用户和管理员都想要账户信息神奇般地扩散到真个环境中的所有计算机,这样就可以使用同样的凭证登录任意系统了。这种特性通常称为“单点登录”(Single Sign-On,SSO),人人都想使用。
SSO 涉及两个核心的安全概念:身份(identity)和认证(authentication)。用户身份是对那些需要访问系统或应用程序的个体的抽象表述。它通常包括各种属性,例如用户名、密码、用户ID、电子邮件地址。认证是一种行为,证明个体是某个身份的合法所有者。
尽管设置SSO的方法不止一种,但是再所有场景中,通常有 4 个要素是必不可少的:
- 包含用户身份和认证信息的集中式目录存储。最常见的解决方案是基于轻量目录协议(Lightweight Directory Access Protocol, LDAP)的目录服务。
- 管理目录内用户信息的工具。
- 用户身份认证机制。你一直接针对 LDAP 存储进行用户认证,但是使用基于票据的 Kerberos 认证系统也很常见。
- 理解集中式身份及认证的C库例程去查找用户属性。
