たとえば、Unix シリーズのオペレーティング システムを使用する複数のコンピュータが LDAP を実行しているサーバーに接続されているとします。データベースには多くのユーザーが含まれています。そのうちの1つはログインを許可しますtestuser
。testuser
どの同じ資格情報を持つマシンです。
testuser
今正常にログインしたとしますhost1
。このログインをドメインの他のすべてのホストにも有効にし、ログインしようとしたときにtestuser
すでに認証されるようにすることはできますか?
これはおおよそ次のように動作します。ドメインに属するすべてのコンピュータが信頼されます。ユーザーがコンピュータにログインしたときに、そのドメインの他のコンピュータにすでにログインしているかどうかを確認します。それ以外の場合はパスワード(またはキー)が必要であり、ユーザーは現在のコンピュータで自動的に認証されます。よく確認してください。
計画9同様のものを提供してください。この機能はUnixシリーズのオペレーティングシステムで使用できますか?
編集者ログイン私の言葉は、システムシェルまたはGUIに正常にアクセスすることです。ログインはssh
キーボードを介してリモートまたはローカルで実行できます。認証方法は、パスワード、パスフレーズ、またはローカルアクセス用のキーでなければなりませんssh
。私はいつもPAMの使用を検討します。
答え1
KerberosをSSOプロトコルとして使用する場合:ユーザーが自分のワークステーションにログインすると、チケット付与チケット(TGT)がユーザーセッション(ファイルなど)に保存されます。このTGTにより、ユーザーは他の「kerberized」サービス(SSHサーバーなど)にアクセスするためのサービスチケットを入手できます。
これは、セキュリティポリシーが共通アカウントを使用してすべてのシステムへのアクセスを許可すると仮定します。