- android - 多次调用 OnPrimaryClipChangedListener
- android - 无法更新 RecyclerView 中的 TextView 字段
- android.database.CursorIndexOutOfBoundsException : Index 0 requested, 光标大小为 0
- android - 使用 AppCompat 时,我们是否需要明确指定其 UI 组件(Spinner、EditText)颜色
我正处于Java EE应用程序的“预设计”阶段(如果有这样的事情!),该应用程序将在客户端上使用Swing框并为Web和服务器层实现组件。
立即为我提供了一些技术选择,并一直在阅读Kerberos和SSL的工作方式之间的差异。我无法找到任何答案的一个领域一直是如何在Kerberos或SSL之间进行选择的主题。换句话说,您如何确定什么时候适合使用这两种协议?
假设Swing客户端不受特定传输方式(UDP,TCP或其他方式)的约束,并且可以使用任一/任何方式。如何选择两者中哪个更适合其应用?
谢谢!
最佳答案
突然(几个月后)出现了一个狂野的Sys Admin ...
我将不得不对此表示异议。没有CA就能建立PKI的想法是非常荒谬的。您必须通过简化创建过程来维护PKI的完整性和性能。您必须在某个地方创建和存储证书,这将在哪里? Boom,您有一个CA。任何体面的PKI也将需要维护CRL,管理员是否应该只手写它?您还可能会忘记拥有不同类型的509,因为手工维护的开销会把您的思维全开并变成灰色浆液。
我想您可以只使用openssl的CLI手动创建票证,然后将它们通过ftp下载到远程客户端,但这对于规模可观的部署将是一个巨大的麻烦。本质上,如果您的部署规模很小,可以手工生成证书(重复输入信息和所有信息),然后仅担心CRL是合理的计划,那么您根本就不需要高级身份验证系统。遵循TLS + LDAP的原则(一个服务器证书用于机密性而非身份验证)更为合适。
好的,既然我已经清除了一些误解,那么实际上让我们回答您的问题:您何时想在Kerberos上使用SSL over Kerberos?基于x509的身份验证是一个令人难以置信的模糊野兽,主要是因为大多数人(例如上述Michael-O)并未意识到SSL确实是在对用户进行身份验证,因此无法正常工作。我知道有一些FTP程序通过这种方式进行身份验证,中间件使用了它……有时(这听起来与Java演讲的用例很接近),而vpn客户端/网关通常使用SSL证书进行身份验证。
SSL的使用将暗示我在此所说的PKI,如果您的用例涉及机密性,则可以很好地工作。 DoD是企业的一个很好的例子,该企业将PKI广泛用于身份验证之外的功能。在这种情况下,假设所有相关的客户端程序都支持x509身份验证很有意义。它仍然是一个奇特的设置,您仍然必须弄清楚最终用户如何将其SSL凭据“呈现”给系统(客户端配置,智能卡等),但可以很好地组合在一起。除了奇数匹配之外,kerberos还通过临时票证进行身份验证,而SSL证书通常会持续很长时间(这就是为什么需要CRL的原因),这意味着,如果永不更改的密钥基于一个证书,则攻击者将有几个月的时间在他们必须找到新证书之前要乘搭免费出租车,而在kerberos中,只有一天的时间可以免费乘搭,这只是在票未销毁的情况下。
所有其他情况都应尽可能使用Kerberos身份验证。它提供了正确的安全层,实际上是设计为大型网络身份验证系统的,这就是为什么您拥有难以通过SSL复制的内容(例如,作为服务身份验证而不是普通用户身份验证)并且仅满足其预期目的的简单方法目的。您的用例总是需要考虑到现有的基础架构,而这些基础架构可能是面向kerberos的,有时是面向LDAPS的,但几乎从未面向x509身份验证。换句话说:您正在编写的任何内容都已经很有可能已经在kerberos基础结构中运行,因此您不妨以某种方式插入其中。与509-as-authentication相比,管理员对Kerberos-as-authentication的了解也会使您受益更多。这样做的缺点是,机票外部的机密性是一个玩笑。 NFSv4具有某种程度上与kerberos票证有关的DES弱加密(甚至没有,我也不是说3DES),但是它确实进行了身份验证,这基本上就是它的全部工作。
我希望看到x509的一些灵活性与kerberos样式的基础结构(服务的识别以及即将到期的票证的“一个时限”方面)相结合,该解决方案比x509的实施更广泛现在,但是在此阶段,大部分时间都是在做白日梦。
摘要:
如果基础结构需求不会成为问题,并且无论如何您都将PKI用作其他内容,则x509很好,但是否则可能不必要地重复了工作,或者如果部署可能仍将具有kerberos基础结构,则x509很好。
Kerberos是一种类似但更好的身份验证方案,它得到更广泛的使用/理解,但根本无法帮助您使用PKI,您可以获得身份验证,仅此而已。
关于java - 身份验证:Kerberos还是SSL?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/4878018/
我已经开始配置 kerberos。 谁能解释我们在 krb5.conf 文件中设置的票证生命周期和更新生命周期。 ticket_lifetime = 2d renew_lifetime = 7d 是
kerberos 只加密身份验证过程还是所有客户端通信? 我的印象是它就像 LAN 的 VPN。 以便所有 LAN 通信都被加密。就像所有互联网通信都通过 VPN 加密一样。 问候奥布里 最佳答案 K
我试图弄清楚kerberos身份验证是如何工作的,但我发现的信息总是缺少一些东西,就好像其中的一部分被认为是理所当然的。我大致了解该过程,但缺少一些细节。 获取 TGT: 首先,用户应从 KDC 获取
是否可以进行可选的 kerberos 身份验证? 我想要的是:如果客户端(浏览器)不在域中,它被重定向到用户名/密码网络登录。否则它会做 SPNEGO 做 Kerberos 认证。 有什么解决办法吗?
目前正在寻找使用 AD 的联合服务器。首先想到的是使用 ADFS 来管理跨域和领域的服务请求。也就是说,应用程序必须有权访问特定用例的 Kerberos 票证。 AD FS 是否在任何时候使用 Ker
我们想通过 Polybase 将我们的 SQL Server 2016 Enterprise 与我们的 Kerberized OnPrem Hadoop-Cluster 和 Cloudera 5.14
哪个性能测试工具支持带有 Kerberos 身份验证的网页? 仅仅回退到 NTLM 的工具是不够的。 最佳答案 我做了一些研究,可用工具列表是: Visual Studio 2010 Load tes
据我了解, SPN 是 Windows 服务的身份验证工具。 Kerberos 是一个用户认证服务 SPNEGO-GSSAPI 是第三方 API能够使用这些服务。 SSPI:是发送的中立层从 SPNE
我知道中央身份验证服务(CAS)和Kerberos都可以用于对建立 session 进行身份验证。这两种协议(protocol)至少涉及三方,并且将创建票证授予票证持续时间身份验证,那么CAS之间有哪
是否可以进行可选的 kerberos 身份验证? 我想要的是:如果客户端(浏览器)不在域上,它将被重定向到用户名/密码 Web 登录。否则它将执行 SPNEGO 执行 Kerberos 身份验证。 如
在我的 Kerberos 系统中: 运行 kinit test并输入 passwd ,成功。 通过 kadmin.local -q "xst -k test.keytab test" 生成 key 表
如何从 NIFI 连接到启用 Kerberos 的 Kudu? 我只看到一个处理器可以访问 Kudu - PutKUDU 并且它不支持 Kerberos。我没有在网上看到任何有关使用 Kerberos
我正在处理与数据库的 kerberized 连接。我想我了解kerberization的基础知识。用户请求KDC的“Authentication Server”部分获取TGT(Ticket Grant
情况如下: 我在 Windows 7 上使用 MIT Kerberos 客户端 kfw 4.0.1 执行此操作。我正在通过 OpenVPN 连接到使用 Kerberos 5 保护的 YARN 集群。这
我在我的机器上使用 MIT kerberos 5 对用户进行身份验证。这会将票证授予用户。我想将票的 maxlife 重置超过 24 小时。默认情况下,kerberos 票证的最长生命周期为 24 小
我最近提出了一个问题,涉及我在让 MIT Kerberos 与 Microsoft 的 LSA 凭据缓存良好配合时遇到的一些问题。 有人告诉我,设置注册表项 AllowTGTSessionKey 应该
我确实有一个具有 KERBEROS 安全性的 Hadoop 集群和另一个没有 KERBEROS 的 Hadoop 集群。 我可以将文件从 KERBEROS hadoop 集群复制到非 KERBEROS
这来自 Kerberos 示例应用程序,位于 https://github.com/spring-projects/spring-security-kerberos/tree/master/sprin
我正在尝试在启用 Kerberos 身份验证的安全模式下设置单节点 Hadoop 集群,使用 hadoop-2.4.0和 jdk1.7.0_25 . 为此,我按照文档中的描述创建了 key 表文件。在
最近使用 Kerberos 安装 samba 共享停止工作。在另一台服务器上具有相同挂载选项的相同共享有效。所以我假设我们的 DNS 设置和/或 Active Directory 设置没有任何问题。似
我是一名优秀的程序员,十分优秀!