Cli*_*ore 5 password openid single-sign-on
当你的密码爆炸,让你的服务器冒出魔法烟雾,并设置lp0时,你难道不只是讨厌它吗?
严肃地说,一个人需要用户名和密码的地方数量正在急剧增加。看起来OpenID在不久的将来不会解决这个问题,而且单点登录在内部似乎更像是一个目标而不是现实,即使不考虑外面的大网。
我刚刚参加了一次会议,我被告知我们已经为访问几个外部站点付费,并且希望降低门槛并增加员工(和学生)使用这些资源的可能性。那些发言者认为,我们前 5% 到 10% 的用户可能会使用这些网站,但如果我们能够提供一种方法让人们登录这些网站(并为他们提供启动页面),那么使用率可能会增加显着(而且我们可以节省技术支持资金,但不必在人们忘记密码时提供帮助。)
你在你的组织中如何解决这个问题?有什么合理的方法吗?
Kerberos 可以帮助您完成 90% 的任务。然后,您必须让浏览器将 kerberos 令牌传递到内部网站(查看 Mozilla 变体的 about:config,搜索“nego”以查看首选项)。
之后,对需要密码或 LDAP 的事物进行 RADIUS 类型身份验证。