Разве вы не ненавидите, когда ваш пароль взрывается, позволяя волшебный дым с вашего сервера и установка lp0 в огне?
Если серьезно, то количество мест, где человеку нужны имя пользователя и пароль, резко увеличивается. Это выглядит как OpenID не решит проблему в ближайшем будущем, и Единая точка входа Внутренне это больше похоже на цель, чем на реальность, даже если не брать во внимание огромную большую сеть.
Я только что пришел с встречи, на которой мне сказали, что мы заплатили за доступ к нескольким сторонним сайтам и хотим снизить планку и повысить вероятность того, что сотрудники (и студенты) воспользуются этими ресурсами. Те, кто выступал, полагали, что наши пять-десять процентов пользователей могли бы использовать сайты, но если бы мы могли предоставить способ входа людей на сайты (и дать им стартовую страницу), это могло бы увеличиться. резко (и что мы могли бы сэкономить деньги на техподдержку, но не помогать людям, когда они забывают свои пароли).
Что вы делаете с этой проблемой в своей организации? Есть ли разумные подходы?
Kerberos дает вам 90%. Затем вам нужно заставить ваши браузеры передавать токены Kerberos на внутренние веб-сайты (посмотрите about: config в вариантах Mozilla, введите «nego», чтобы увидеть настройки).
После этого аутентификация типа RADIUS для вещей, требующих паролей, или LDAP.
Мы широко используем Центральную службу аутентификации (запись в Википедии). У него есть плагины для множества вещей, и нам удалось использовать его для служб, которые имеют отдельную идентификационную информацию для каждого пользователя. я верить его также можно использовать для служб, для которых существует общий вход на сайт.
Здесь держать вариант. Keepass может открыть веб-сайт, перейти к нужным полям входа, ввести свое имя пользователя и пароль и нажать клавишу ВВОД одним легким щелчком. Поместите предварительно заполненную базу данных keepass на флешку и передайте ее своим пользователям, они также могут хранить там свои собственные пароли.
Возможно, этого будет недостаточно для веб-системы входа в систему для тысяч пользователей, но это может сделать пользователей более удобными, если их пароли будут в безопасности (и по-прежнему являются отличным решением для отдельных пользователей).
Посмотри на Пакет Sun's Identity Management OpenSSO. Я считаю, что есть часть, которая позволяет вам создать внутреннюю инфраструктуру единого входа, которая будет подписывать пользователей в приложениях экстрасети. Я не уверен на 100%, но похоже, что это открытый исходный код и, возможно, бесплатный.
Если различные инструменты / сайты / службы поддерживают LDAP, при входе в систему может потребуются, по крайней мере, они будут аутентифицироваться обратно в инфраструктуру OpenLDAP или Active Directory, поэтому имя пользователя и пароль не будут «новыми».