Porquê usar o kerberos quando pode fazer autenticação e autorização através do ldap?

O Kerberos é o protocolo padrão da indústria de rede corporativa. O LDAP sempre foi mais um protocolo de pesquisa de diretórios. No entanto, LDAP também pode fazer autenticação, já que o aspecto de autenticação foi aparafusado em alguns anos após o próprio protocolo ter sido concebido. Com a autenticação LDAP, e cada tentativa de autenticação vai causar uma carga no servidor de autenticação de diretórios, então nesse sentido, ele pode martelar o seu servidor de autenticação de diretórios frequentemente. Com kerberos, após a primeira autenticação, o cliente tem um ticket que será bom por um padrão de 10 horas para que tentativas de autenticação adicionais não tenham que sobrecarregar o seu servidor de autenticação de diretório novamente. E o cliente vai cuidar de obter autenticação "tickets" para os recursos alvo, em vez de o servidor de Aplicação fazer isso em nome dos clientes, que é o que esses servidores de aplicação têm que fazer se o mecanismo de autenticação LDAP estiver em jogo. Além disso, o LDAP, se não estiver configurado corretamente, irá enviar tentativas de autenticação no texto claro. Mesmo se você configurar para fazer a autenticação criptografada sobre LDAPS, que em seguida, você precisa obter um certificado SSL para fazer isso, então você também tem que contornar o problema de armazenar o nome de usuário/senha em qualquer servidor de aplicação em texto simples, a menos que alguém toma a passos extra para criptografar que. Em resumo, como um protocolo de autenticação Kerberos é muito mais seguro fora da caixa, é des-centralizado, e irá colocar menos carga em seus servidores de autenticação de diretório do que LDAP irá. Kerberos em ambientes de diretório ativo da Microsoft puro irá fazer autenticação e autorização para você, enquanto a pesquisa de diretórios é sempre LDAP. Além disso, LDAP é não sinal único. Os usuários devem sempre digitar manualmente o nome de usuário/senha, enquanto com Kerberos eles não têm que fazer isso.

Agora, se usar o Kerberos para autenticação e LDAP para pesquisa de pastas, e/ou autorização baseada em grupo, do que essa é a melhor prática, como LDAP foi originalmente projetado para o RFCs como um protocolo de pesquisa de diretório apenas. Na verdade, quando você usa uma ferramenta como o utilitário "Active Directory Users and Computers", o que acontece quando você a USA é exatamente isso: você passa uma autenticação Kerberos, a fim de permitir-se consultar o serviço AD LDAP, e então sua pesquisa LDAP a partir desse ponto para a frente é apenas LDAP puro. Em ambientes mistos que consistem em ambas as janelas e digamos para instância Linux, então você pode sempre usar o Kerberos para autenticação, mas que leva mais alguns fazendo no lado da aplicação, por exemplo, você vai precisar de um keytab gerada pelo ANÚNCIO de administrador, mas com base no grupo de autorização terá que ser LDAP e, claro, pesquisas de diretório é sempre LDAP.

O seu administrador provavelmente quer que você use LDAP direto todo o caminho ao redor porque essa é a rota mais fácil de se levantar - ele só precisa dar-lhe uma credencial de conta de usuário de anúncio que você em seguida, tem que tomar e configurar no seu lado da aplicação para permitir que os usuários se autentiquem e, em seguida, permitir a autorização baseada em grupo e, em seguida, consultar o diretório sobre LDAP.

[[1] esta questão realmente envolve uma profunda compreensão de Kerberos versus LDAP, e há muito mais a dizer e ler sobre isso, mas vou precisar deixá-lo neste momento e fornecer-lhe um link: Kerberos vs. LDAP para Autenticação