身份验证 – 为外部用户使用LDAP的优缺点

发布时间：2020-12-15 21:02:33 所属栏目：安全来源：网络整理

导读：我在一家拥有多个面向公众的网站的公司工作. 其中一些网站使用第三方产品(Moveable Type,myBB,Trac等)构建.我们还有几个基于Microsoft堆栈的定制网站. 目前,我们没有统一的认证/授权解决方案;每个站点都实现自己的用户存储. 我热衷于在所有网站上实施统一的

我在一家拥有多个面向公众的网站的公司工作.

其中一些网站使用第三方产品(Moveable Type,myBB,Trac等)构建.我们还有几个基于Microsoft堆栈的定制网站.

目前,我们没有统一的认证/授权解决方案;每个站点都实现自己的用户存储.

我热衷于在所有网站上实施统一的用户身份验证.我不期望实现单点登录(如果在切换站点时提示用户提供凭据,那将不会很糟糕),但我确实需要每个用户都有一个用户名&密码.

在我看来,最可能的解决方案是实现LDAP服务器.我们使用的一些第三方产品支持LDAP,我可以修改我们的定制网站以使用LDAP.

但是,我从未使用LDAP存储来管理外部用户(我总是构建自己的用户存储).

使用LDAP的优缺点是什么？我忽略了其他选择吗？

谢谢

沙

解决方法

我没有使用OpenLDAP的经验,但作为基于ActiveDirectory的LDAP的优缺点：

优点：

>它标准化,因此经常有一些绑定插件;
>许多开发框架都支持与LDAP通信; (我以前从PHP做过; .NET有一个专门的命名空间.)
>实现了所有必要的身份验证方法和安全机制 – 安全地存储密码,必要时可以以安全的方式执行与服务器的身份验证;
>如果需要,可以启用帐户锁定策略/密码历史记录功能;
> AD具有方便的用户管理工具,也可以通过API编写脚本或访问;
>用户可以拥有复杂的组成员资格;
>可以自定义任何对象/属性的权限;
>可以通过添加更多域控制器来分发/复制目录.

缺点：

>部署需要一些规划;>应定期备份ActiveDirectory.>如果您针对Active-Directory进行身份验证,则需要Microsoft许可证.>许可证非常昂贵.

（编辑：李大同）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!