当您的密码爆炸,让魔法从您的服务器中冒出并设置lp0时,您不只是讨厌它吗?
严肃地说,一个人需要用户名和密码的地方数量正在急剧增加。看起来OpenID不会在不久的将来解决这个问题,而且单点登录在内部似乎更像是一个目标而不是现实,即使忽略了那里的巨大网络。
我刚参加了一次会议,有人告诉我,我们已经支付了访问多个外部站点的费用,并且希望降低标准并增加员工(和学生)使用这些资源的可能性。发言者认为,我们前 5% 到 10% 的用户可能会使用这些网站,但如果我们能够提供一种让人们登录网站(并为他们提供启动页面)的方式,那么使用率可能会增加戏剧性地(而且我们可以节省技术支持费用,但不必在人们忘记密码时提供帮助。)
您在组织中针对此问题采取了哪些措施?有什么明智的做法吗?
Kerberos 让你达到 90%。然后你必须让你的浏览器将 kerberos 令牌传递给内部网站(在 Mozilla 变体上查看 about:config,搜索“nego”以查看首选项)。
之后,对需要密码或 LDAP 的事物进行 RADIUS 类型的身份验证。
我们正在广泛使用中央身份验证服务(维基百科条目)。它有很多东西的插件,我们已经设法将它用于每个用户具有单独身份信息的服务。我相信它也可以用于对站点进行通用登录的服务。
有keepass选项。Keepass 可以打开一个网站,选择正确的登录字段,输入您的用户名和密码,然后单击全部输入。将预填充的 keepass 数据库放在随身碟上并将它们提供给您的用户,他们也可以在其中存储自己的密码。
对于成千上万用户的基于 Web 的登录系统来说,这可能还不够好,但它可能会让用户更放心,因为他们的密码是安全的(对于个人用户来说仍然是一个很好的解决方案)。
看看Sun 的身份管理包 OpenSSO。我相信有一块可以让您创建一个内部 SSO 基础设施,将用户登录到外联网应用程序。我不是 100% 肯定的,但它看起来是开源的,也许是免费的。
如果各种工具/站点/服务支持 LDAP,虽然可能需要登录,但至少它们会向您验证 OpenLDAP 或 Active Directory 基础架构,因此用户名和密码不会是“新的”。